Kriptópolis

Dave Cullinane, jefe de seguridad de eBay, basó su reciente charla en la universidad jesuita de Santa Clara en Silicon Valley, en un presunto estudio interno -cuyos resultados no están disponibles- para manifestar que "la inmensa mayoría de las amenazas que vimos eran ordenadores linux con rootkits". Según él, además, "ninguno de los operadores de las máquinas linux que habían sido comprometidas tenía la menor idea de que había sido infectado".

No hay duda de que el jefe de seguridad de eBay debe saber mucho sobre phishing, zombis y botnets, pero cuando el dinero lo pone Microsoft las conclusiones (o al menos los titulares de prensa) son más que previsibles...

En 2003, Andy Lin, de 51 años de edad, era administrador de sistemas Unix en Medco Health. Cuando comenzaron los rumores de absorción de esa empresa por parte de Merck, Lin pensó que podía perder su empleo, por lo que introdujo una bomba lógica en el sistema, es decir, un código oculto destinado a activarse el día de su propio cumpleaños: 23 de Abril de 2004...

Es curioso, pero últimamente abundan los intentos de ataque procedentes de China, hasta el punto de que creo que cualquier responsable de un sitio web que repase sus logs podrá confirmar esto.

En los últimos días, instituciones gubernamentales de Francia, Alemania, Estados Unidos, Nueva Zelanda y Reino Unido (entre otros) afirman haber sufrido ataques procedentes del gigante asiático, con abundantes insinuaciones de que tras ellos podrían estar grupos organizados por el mismísimo Ejército Rojo.

Quizás por eso me ha resultado curiosa la opinión de Paul Strassmann, que durante años ha sido responsable de información del Departamento de Defensa y la NASA...

El FBI ha reconocido en un documento judicial estar utilizando un programa malicioso para controlar las actividades de un individuo que enviaba amenazas de bomba a un instituto del estado de Washington.

Del software -denominado CIPAV- no se sabe demasiado, aunque del citado documento y la opinión de algunos expertos ya pueden deducirse algunos datos.

Por ejemplo, se sabe que se trata de un programa para Windows, que una vez instalado y activado recopila y envía información de la máquina espiada (IP, puertos, servicios, programas, conexiones, número de serie, MAC de la tarjeta de red, etc, etc.) a los ordenadores del FBI, presumiblemente situados en la sede de este organismo en Cuantico, Virginia....

Ya que estamos conmemorando que el primer virus para micros ha cumplido 25 años, me ha parecido muy interesante la pregunta de un lector: ¿Y cuál fue el primer antivirus?. Y ya de paso: ¿Quién y cuándo lo creó?.

Pensé que sería fácil que San Google me diera la solución del enigma, pero no ha sido así. El santo patrón me devuelve abundantes referencias al primer antivirus gallego, chino, kurdo o cubano, el primer antivirus para teléfonos móviles o para agendas electrónicas, el primer antivirus en línea, etc, etc., pero del "primer antivirus" (así, sin adjetivos) nada de nada. Y no digamos ya del año y del nombre de su creador.

Por eso recurro a la mente colectiva kriptopolera y os cedo la palabra. A ver quién se acerca más a la solución del misterio.

Aunque el Gusano de Morris (1988) fue el primer ejemplar de malware que tuvo amplia repercusión, los expertos consideran a Elk Cloner (creado en 1982 por Rich Skrenta, por entonces un quinceañero que estudiaba en un instituto de Pittsburgh) el primer virus informático para microordenadores de la Historia.

El virus se propagaba a través de disquetes infectados del sistema operativo del Apple II. Al arrancar desde un disquete infectado, el virus arrancaba también, copiándose a cualquier otro disquete que se utilizara.

Elk Cloner no buscaba dañar equipos ni datos, sino sólo fastidiar un poco al usuario, así que cada 50 arranques mostraba un (mal) poema en pantalla:

Elk Cloner: The program with a personality

It will get on all your disks
It will infiltrate your chips
Yes it's Cloner!

It will stick to you like glue
It will modify RAM too
Send in the Cloner!

Puesto que el problema de los virus informáticos resultaba aún desconocido, Elk Cloner produjo muchos quebraderos de cabeza a los usuarios afectados.

Joanna Rutkowska ha tenido que admitir -aunque sólo sea tácitamente- que Blue Pill, su rootkit capaz de crear malware presuntamente 100% indetectable, sí que puede ser descubierto.

Al final, también a estos niveles todo es cuestión de dinero; del dinero que se esté dispuesto a invertir en los miles de horas de trabajo de los escasos individuos hipercualificados capaces de trabajar a estos niveles, tanto para esconder algo en las entrañas de la máquina como para sacarlo a la luz...

Troyanos, gusanos y demás ralea suelen "inscribirse" en el registro de Windows para asegurarse de que serán ejecutados tras un reinicio.

Basándose en el comportamiento de varios miles de ejemplares de malware, en F-Secure han elaborado una clasificación de los puntos de lanzamiento más habituales, que serán también los primeros a revisar cuando se sospeche una infección (sin perder nunca de vista, claro, que tales claves también son utilizadas por instaladores de software no dañino)...

Muchas veces se afirma que el malware es una plaga que padecen sobre todo los usuarios de Microsoft, simplemente por el abrumador predominio de los sistemas de esta empresa en los escritorios de los usuarios. De cambiar algún día esa relación de fuerzas -se argumenta- es de suponer que el malware se extendería en la misma proporción a los sistemas de otros fabricantes.

Quienes no estamos de acuerdo con tales afirmaciones, solemos fundamentar nuestra postura señalando un terreno de juego donde hace mucho tiempo que la proporción es precisamente la inversa: los servidores.

Entre los servidores de Internet, el de Microsoft (IIS o Internet Information Server) corre en el 23% de ellos, como muestra el siguiente gráfico:

Días de vino y rosas en Redmond. BadBunny es sólo una prueba de concepto, pero demuestra que la sombra de Microsoft es alargada y que las suites ofimáticas programables mediante macros entrañan riesgos de seguridad "per se" con independencia de que se llamen Office u OpenOffice, e incluso sin importar demasiado la plataforma sobre la que se ejecuten.

BadBunny es la prueba de concepto de un gusano multiplataforma, enviada directamente a SophosLabs. No es ningún prodigio de programación, pero demuestra que las macros de OpenOffice también entrañan riesgos notables y además ejemplifica cómo es posible infectar a partir de un documento malicioso tanto Windows, como Linux o MacOS...