Hola a todos, espero disfruten mi comentario y dice asi….:
Revisando mi correo, leyendo algunos posts de una lista a la que estoy inscrito, una noticia sin querer queriendo me llamó la atención un asunto con el título BlackWorm: statistics and numbers, el por qué de mi interés nace, ya que algunos días atrás revisando diariamente los logs de un servidor de correo que implementé a un cliente, y por el cual siempre lo estoy monitoreando, observe muchos intentos de envio y recepción de correos desconocidos (no quiero entrar en detalles de como que técnicas o modalidad empleadas) , que venían con una especie de archivo adjunto, todos contenian el mismo tamaño a cuentas no existentes, pero referenciandolo al dominio configurado en el servidor, al observar minuciosamente cada archivo adjunto en una plataforma UNIX detecto que el archivo era una especie de código malicioso con comportmiento sofisticado que permitia cambiar de extensiones y de asuntos y hasta el motor de envio de correos y los mas resaltante siempre el mismo tamaño, y tambien en algunos casos tenian lugar de procedencia de las mismas direcciones IP, relamente de un mismo ISP, y al hacer un Reverse DNS lookup, pude detectar que las direcciones eran de empresas y de clientes s+++++.
Bueno para no seguir con mucho rollo, el post que recibí, tenia como referencia un enlace a otra página y al ver el destino, me di con una sopresa muy grande y a la vez muy gratificante, ya que en mi investigación de tesis dejo constancia una premisa de que nuestro país sin darnos cuenta algun día lleguemos a hacer foco de algún problema global referente a la seguridad relacionada a la informática.
La investigación referente a lo que menciona BlackWorm: statistics and numbers, ha sido desarrollada, por la empresa LURHQ Threat Intelligence Group.
URL origen del informe:http://www.lurhq.com/blackworm-stats.html
Release Date: January 26, 2006
Muestra cuadros interesantes de como ha cambiado el comportamiento de infección de virus worms, distribuídos a través del correo electrónico, desde el 15/01/2006 al 25/01/2006, y realmente es alarmante el aumento, indicando una curva muy elevada en todo, aquí les referencio los graficos, http://www.lurhq.com/images/counter-total-hits.png, http://www.lurhq.com/images/counter-total-infections.png, del cual Uds. amigos lectores interesados obtengan sus conclusiones.
Lo resaltante como peruano que soy, es este cuadro que reporta a países como el nuestro, poseedores de más servidores o agentes de distribución e infección en lo que se refiere a infección por parte del virus CME-24 más conocido como Kama Sutra; según el estudio realizado a 300.000 usuarios en el mundo. Aquí el cuadro de infección por pais.
Es sorprendete verdad ver que somos el segundo país; despues de India, con mas infección de worms virus, segun enumeración común de malware (CME), el identificador dado es el CME-24. (http://cme.mitre.org) Common Malware Enumeration (CME).
Lo que confirma el estudio que contamos con un total de más de 2000 direcciones IP’s infectadas. Que quiere decir que aparte de estar infectados también distribuimos a nivel mundial, y seguro nos preguntaremos ¿Como sabe la empresa que realmente las direcciones son de Perú, no serán emitidos por proxys reversos o de cache u otra modalidad de captura o NATeo de IP’s? Pues realmente la empresa que investiga no posee aca usuarios o empresas que reporten estos hechos, pero si en otros países, pues la detección de cada direccion IP es mediante el medio de The IP::Country and Geography::Countries Perl modules (pues poseo un ejemplo que he desarrollado, http://ragesys.net/ip-whois). Utilizados por la empresa para hacer el matching de las direcciones, y al hacer la resolución de los nombres de host o hostnames, tales direcciones IP pertenecientes a una organización ISP principal de nuestro país, que por lo cual me atrevo a decir que no monitorea ni procura evitar ciertos comportamientos, ya sea tomando filtros, o otras medidas y sobre todo fomentando una cultura sobre el tema.
Ahora nos preguntamos, que impacto tiene en el mundo este hecho de ser uno de los paises que presenta este tipo de problema, bueno para mí y creo que para cualquier persona que le interesa la seguridad, diria que pues esto nos llevará a que seamos referenciados en las listas negras de SPAM y de Contenido malicioso, que existen en el mundo, además de que puede despertar curiosidad por parte de los blackhats (atacantes, intrusos, crackers,etc,etc), a lanzarse a tomar computadoras para comenter ataques a otros objetivos, y por que no atacar a nosotros mismos, quedando en jaque las compañias nacionales y hasta nuestro gobierno, que no poseen una fuerte seguridad en sus redes. Pues las incidencias, no son sentidas por la mayoria de usuarios de empresas o de hogares, nos daremos cuenta cuando seamos reportados y reconocidos por otras organizaciones que luchan en contra de estos hechos realmente que ocasionan millones de cifras monetarias en pérdidas. Creo que este estudio refleja mas una realidad cercana a la generación de los ataques manipulados remotamente a objetivos fuera de nuestro ámbito, formando una red de máquinas zombies o botnets, al acecho de ejecutar ordenes para ejecutar un ataque a gran escala. Quiero terminar que el objetivo de un ataque ya no es en sí el fraude, robo o beneficio, ha cambiado de paradigma si es mas por decir, por esta razón ahora los hackers o blackhats ya no tienen como principal objetivo la búsqueda de las vulnerabilidades de los programas sino atacar a los trabajadores. Pretenden engañarlos para que ellos mismos ejecuten las amenazas según un estudio realizado por IBM hace unas semanas.
Una de las principales amenazas que a mi parecer sucedera este año con los hechos descritos entrarán a tallar los Botnets, piezas de código malicioso que se envía a los usuarios a través de diferentes vías y se instalan en su sistema permitiendo que éste sea controlado sin que se percate el usuario, tambien cabe mencionar la mensajería instantánea y las redes peer-to-peer serán otro nuevo canal de transmisión.
Recomiendo lean el estudio completo por la empresa LURHQ (http://www.lurhq.com/blackworm-stats.html) y sobre todo el faq del estudio sobre todo esta pregunta en inglés Peru? Are you sure?…
About LURHQ Corporation
LURHQ is the leading provider of Threat and Vulnerability Management services. LURHQ empowers security professionals at enterprise clients by partnering with them to provide the Consulting and Managed Security Services necessary to better align their security efforts with business risk. The result is the development of a strategic Threat and Vulnerability Management process that delivers an enhanced security posture, greater security operations efficiency, improved compliance and reduced security program costs. For more information visit http://www.lurhq.com.
Se respeta con esto los derechos de autor de la informacion obtenida.