Selecciona Edición
Conéctate
Selecciona Edición
Tamaño letra
SEGURIDAD

El virus 'Slapper', primer contagio masivo de máquinas con Linux

Linux ya es una alternativa a Windows. Ya tiene su primer contagio masivo por virus.

El responsable, un gusano llamado Slapper, es un artilugio tecnológico de cierta simplicidad conceptual, pero de un gran potencial expansivo y peligrosidad. Una máquina afectada por este patógeno no sólo queda abierta a posibles ataques remotos, sino que también puede llegar a ser integrada en una red de ordenadores contagiados y dirigidos por el autor del espécimen, con el fin de lanzar bombardeos de datos contra un determinado servidor de Internet.

Según Kaspersky AntiVirus, una de las compañías punteras de la lucha antivírica, hay más de 4.000 máquinas afectadas. Sin embargo, el espectro potencial de víctimas del patógeno es, a priori, reducido: debe correr alguna versión reciente de las distribuciones más populares de Linux (SuSE, Red-Hat, Debian, Slackware, Gentoo o Mandrake) y un servidor de páginas web Apache con una versión anterior a la 0.9.6e del componente de seguridad OpenSSL, por el que se filtra el virus.

Un dadaísta

Slapper inicia su ciclo expansivo de forma dadaísta, generando rangos de direcciones IP al azar (por ejemplo, 124.149.*.*) y rastreando sus posibles subclases (*.*, desde 0.0 hasta el límite, 255.255); cada una de estas direcciones IP corresponde a un usuario conectado a Internet, que podría reunir los requisitos necesarios para ser infectado. Así, el espécimen envía un comando al puerto 80 (el canal por el que circulan todas las comunicaciones con webs) de cada IP, en espera de respuesta con el nombre y la versión del sistema operativo y del servidor Apache, si lo hubiere.

En caso de coincidencia con los parámetros necesarios, Slapper procede a infiltrarse por medio de una vulnerabilidad en el protocolo SSL, a través del puerto 443 de su víctima, sólo si éste está abierto. Una vez dentro del sistema, el gusano se ejecuta e itinera su ciclo vital de búsqueda de rangos IP; de forma paralela, habilita también las comunicaciones en el puerto 2002, donde instala una puerta trasera que permite al autor del patógeno enviar comandos maliciosos para que éste lleve a cabo acciones remotas en la máquina saboteada.

Es precisamente esta puerta trasera la que permite que todos los ordenadores infectados por Slapper interactúen entre sí obedeciendo las órdenes del creador del espécimen, que podría utilizarlos como una legión de máquinas zombis para dirigir ataques controlados de denegación de servicio (DoS) contra un determinado servidor de Internet, basados en un simple bombardeo de datos desde cada sistema.

El mejor método preventivo frente a una posible infección de Slapper pasa por la actualización del módulo OpenSSL a una versión posterior a la 0.9.7-beta, con la vulnerabilidad crítica ya corregida.

* Este artículo apareció en la edición impresa del Jueves, 26 de septiembre de 2002