Siguiente: Conejos
Subir: Fauna y otras amenazas
Anterior: Virus
Índice General
El término gusano, acuñado en 1975 en la obra de ciencia ficción de John
Brunner The Shockwave Rider hace referencia a programas capaces de viajar
por sí mismos a través de
redes de computadores para realizar cualquier actividad una vez alcanzada una
máquina; aunque esta actividad no tiene por qué entrañar peligro,
los gusanos pueden instalar en el sistema alcanzado un virus, atacar a este
sistema como haría un intruso, o simplemente consumir excesivas cantidades
de ancho de banda en la red afectada. Aunque se trata de malware
muchísimo menos habitual que por ejemplo los virus o las puertas traseras,
ya que escribir un gusano peligroso es una tarea muy difícil, los gusanos
son una de las amenazas que potencialmente puede causar mayores daños: no
debemos olvidar que el mayor incidente de seguridad de la historia de Unix e
Internet fué a causa de un gusano (el famoso Worm de 1988).
Antes del Worm de Robert T. Morris existieron otros gusanos con fines
muy diferentes; a principios de los setenta Bob Thomas escribió lo que muchos
consideran el primer gusano informático. Este programa, denominado `creeper', no era ni mucho menos malware, sino que era utilizado en los
aeropuertos por los controladores aéreos para notificar que el control de
determinado avión había pasado de un ordenador a otro. Otros ejemplos
de gusanos útiles fueron los desarrollados a principios de los ochenta por
John Shoch y Jon Hupp, del centro de investigación de Xerox en Palo Alto,
California; estos worms se dedicaron a tareas como el intercambio de
mensajes entre sistemas o el aprovechamiento de recursos ociosos durante la
noche ([SH82]). Todo funcionaba aparentemente bien, hasta que una
mañana al llegar al
centro ningún ordenador funcionó debido a un error en uno de los gusanos;
al reiniciar los sistemas, inmediatamente volvieron a fallar porque el gusano
seguía trabajando, por lo que fué necesario diseñar una vacuna. Este
es considerado el primer incidente de seguridad en el que entraban worms
en juego.
Sin embargo, no fué hasta 1988 cuando se produjo el primer incidente de
seguridad `serio' provocado por un gusano, que a la larga se ha convertido en
el primer problema de seguridad informática que saltó a los medios
([Mar88a], [Mar88b], [Roy88]...) y
también en el más grave - civil, al menos - de todos los tiempos. El 2
de noviembre de ese año, Robert T. Morris saltó a la fama cuando uno de
sus programas se convirtió en `el Gusano' con mayúsculas, en el Worm
de Internet. La principal causa del problema fué la filosofía `Security through Obscurity' que muchos aún defienden hoy en día: este
joven estudiante era hijo del prestigioso científico Robert Morris, experto
en Unix y seguridad - entre otros lugares, ha trabajado por ejemplo
para el National Computer Security Center estadounidense -, quien
conocía perfectamente uno de los muchos fallos en Sendmail. No
hizo público este fallo ni su solución, y su hijo aprovechó ese
conocimiento para incorporarlo a su gusano (se puede leer parte de esta
fascinante historia en [Sto89]). El Worm aprovechaba varias
vulnerabilidades en programas como sendmail, fingerd, rsh y
rexecd ([See89]) para acceder a un sistema, contaminarlo, y
desde él seguir actuando hacia otras máquinas (en [Spa88],
[ER89] o [Spa91a] se pueden encontrar detalles concretos del
funcionamiento de este gusano). En unas horas, miles de equipos conectados a la
red dejaron de funcionar ([Spa89]), todos presentando una sobrecarga
de procesos sh (el nombre camuflado del gusano en los sistemas Unix);
reiniciar el sistema no era ninguna solución, porque tras unos minutos de
funcionamiento el sistema volvía a presentar el mismo problema.
Fueron necesarias muchas horas de trabajo para poder detener el Worm
de Robert T. Morris; expertos de dos grandes universidades norteamericanas,
el MIT y Berkeley, fueron capaces de desensamblar el código y proporcionar
una solución al problema. Junto a ellos, cientos de administradores y
programadores de todo el mundo colaboraron ininterrumpidamente durante varios
días para analizar cómo se habían contaminado y cuáles eran los
efectos que el gusano había causado en sus
sistemas. El día 8 de noviembre, casi una semana después del ataque,
expertos en seguridad de casi todos los ámbitos de la vida estadounidense
se reunieron para aclarar qué es lo que pasó exactamente, cómo se
había resuelto, cuáles eran las consecuencias y cómo se podía
evitar que sucediera algo parecido en el futuro; allí había
desde investigadores del MIT o Berkeley hasta miembros de la CIA, el
Departamento de Energía o el Laboratorio de Investigación Balística,
pasando por supuesto por miembros del National Computer Security Center,
organizador del evento. Esta reunión, y el incidente en sí, marcaron un
antes y un después en la historia de la seguridad informática; la
sociedad en general y los investigadores en particular tomaron conciencia del
grave problema que suponía un ataque de esa envergadura, y a partir de
ahí comenzaron a surgir organizaciones como el CERT, encargadas de velar
por la seguridad de los sistemas informáticos. También se determinaron
medidas de prevención que siguen vigentes hoy en día, de forma que otros
ataques de gusanos no han sido tan espectaculares: a finales de 1989 un gusano
llamado wank, que a diferencia del de Morris era destructivo, no tuvo
ni de lejos las repercusiones que éste. Desde entonces, no ha habido ninguna
noticia importante - al menos publicada por el CERT - de gusanos en entornos
Unix.
Siguiente: Conejos
Subir: Fauna y otras amenazas
Anterior: Virus
Índice General
2003-08-08