David Piscitello, Tecnólogo de Seguridad Senior en ICANN (Corporación de Internet para la Asignación de Nombres y Números), ha publicado un estudio sobre el nacimiento y evolución de Conficker, que se centra en las medidas de contención tomadas por la comunidad de seguridad informática, así como en el cambio de proceder de los creadores de Conficker ante las consecutivas trabas que la comunidad, unida, lograba imponer al gusano, logrando frenar su propagación y la explotación de los ordenadores infectados para actualizarlos y usarlos como bots.
Conficker, que apareció en octubre de 2008 y rápidamente obtuvo la misma notoriedad que otros gusanos de gran repercusión anteriores, como Code Red, Blaster, Sasser o SQL Slammer, pudo encontrarse pronto tanto en redes personales como empresariales, así como en grandes redes de empresas multinacionales. Frente a esto, la respuesta dada por la comunidad de seguridad informática es un hito comparable al propio virus.
Investigadores de seguridad en Internet, desarrolladores de sistemas operativos y de software antivirus descubrieron el gusano a finales de 2008. Junto con los registros y registradores de Dominios de Nivel Superior (TLDs, es decir, “.com”; “.es”; etc.), ICANN y la comunidad de aplicación de la Ley consiguieron mantener a los creadores del malware alejados de la utilización de decenas de miles de dominios que generaban diariamente de forma algorítmica.
Los creadores de Conficker hacían más uso de dominios que de direcciones IP para hacer sus redes de ataque más eficaces frente a la detección y la desactivación. Las primeras medidas de contención tomadas por la comunidad – registros de dominios de forma preventiva para identificar los hosts de comando y control de Conficker – lograron que los creadores no pudieran comunicarse con los sistemas infectados y como consecuencia no pudieran dar instrucciones a sus bots para perpetrar ataques o recibir actualizaciones.
La respuesta de los programadores de Conficker fue introducir variables a la infección original que incrementaban el número de dominios generados mediante algoritmos y extendieron los nombres de forma más efectiva a través de más TLDs. Frente a esta escalación, la comunidad de contención de Conficker se puso en contacto con más de cien gestores de TLDs de todo el mundo para que participaran en el esfuerzo de contención.
Los esfuerzos combinados de todos los actores implicados en la respuesta colaboracionista se deben de medir por más criterios que sólo la mitigación. Las medidas de contención no lograron desmantelar la amenaza completamente, ni tampoco erradicar el gusano, pero todavía siendo así, el mérito reside en las trabas impuestas a la comunicación y control de sus botnets, y la necesidad de los programadores de cambiar su comportamiento.
La respuesta colaboracionista demostró que las comunidades de seguridad quieren y pueden unir sus fuerzas en la respuesta a incidentes que amenazan la seguridad y la estabilidad de los DNS y los sistemas de registro de dominios a una escala global.
ICANN 7-05-2010)
http://icann.org/en/security/conficker-summary-review-07may10-en.pdf
