Sobre la difusión de gusanos y otros programas malévolos

En How to 0wn the Internet in Your Spare Time algunas cifras interesantes de difusión de diferentes gusanos y programas maliciosos y cómo algunos se quedan en la red disponibles para infectar a cualquiera que no ande protegido, incluso después de mucho tiempo:

In this paper we have examined the spread of several recent worms that infected hundreds of thousands of hosts within hours. We showed that some of these worms remain endemic on the Internet. We explained that better-engineered worms could spread in minutes or even tens of seconds rather than hours, and could be controlled, modified, and maintained indefinitely, posing an ongoing threat of use in attack on a variety of sites and infrastructures. Thus, worms represent an extremely serious threat to the safety of the Internet. We finished with a discussion of the urgent need for stronger societal institutions and technical measures to control worms, and sketched what these might look like.

Algunos se propagan en minutos o segundos.

Un compilador que infecta los binarios

En mis cursos de diseño de aplicaciones seguras es una lectura recomendada el Reflections on trusting trust (pdf) de Ken Thompson: al final tienes que confiar en en algo porque, él hipotetizaba, podrían darte el compilador manipulado y cualquier binario generado con ello podría infectarse y tendríamos un sistema inseguro.

Nos lo recuerdan en Virus que infectan compiladores y un caso que parece ser que está de actualidad porque hay compiladores de Delphi que harían realidad aquella especulación: una vez infectados generan binarios infectados (se han detectado incluso virus y troyanos infectados, si todo lo que se cuenta es cierto). Hay algunos detalles más en W32/Induc-A virus being spread by Delphi software houses.

Infecciones en red

Siempre que pensamos en estas cosas, nos vamos hacia lo más ‘poético’: que si difusión por WiFi (WiFi Epidemiology: Can Your Neighbors’ Router Make Yours Sick?, recientemente tuvo algo de difusión en prensa y allegados, WiFi flu: viral router attack could hit whole cities) o por Bluetooh (Bluetooth es la principal fuente de entrada de virus en los teléfonos móviles).

Sin embargo, la navaja de Occam es persistente: los malos no atacan por donde es más bonito o mediático, sino por donde es más efectivo: es cierto que ha habido contagios a través de Bluetooth pero no hay noticias sobre los que se realizarían por WiFi (al fin y al cabo, el artículo sólo habla de la posibilidad y hace números sobre la hipotética difusión). Si que las hay sobre la difusión de troyanos a través de routers conectados a internet (pero a través de la propia red, ¿qué interés tiene atacar a los vecinos, si tienes acceso al mundo?): Network Bluepill – stealth router-based botnet has been DDoSing dronebl for the last couple of weeks (lo vi en Botnet de routers DSL infectados).

Sobre la transmisión en móviles, más de lo mismo: en Understanding the Spreading Patterns of Mobile Phone Viruses, los autores hacen números, miden lo que pasaría y nuevamente concluyen que la forma óptima de transmitir virus y otros ‘bichitos’ a través de redes móviles no sería otra que la mensajería multimedia (MMSs) que tiene, nuevamente, alcance más global frente al alcance por proximidad de las conexiones por bluetooth.

Lo comentan (más por los gráficos que otra cosa) en Understanding the Spreading Patterns of Mobile Phone Viruses y señalan (de pasada) la importancia de la diversidad.

La difusión de Conficker

En Conficker World Maps se pueden ver mapas de la ‘implantación’ de Conficker y en Infection Distribution alguno más, donde dicen que la distribución en el mapa no es muy exacta.