Una nueva tecnología anti "gusanos" es capaz de identificar y frenar gusanos milisegundos después de un ataque cibernético contra redes de ordenadores, y además se puede integrar dentro de sistemas convencionales de filtraje.
Según los creadores del sistema, de la Universidad Estatal de Pensilvania, debido a que muchas tecnologías de seguridad actuales se concentran en firmas o patrones de identificación para bloquear a los gusanos, no son capaces de responder con rapidez a los ataques, permitiendo que éstos exploten los puntos vulnerables de la red. Como resultado, pueden pasar varios minutos entre el momento en el que un sistema basado en firmas reconozca que un paquete o datagrama es un gusano, y el momento en que crea una nueva firma para impedir que continúe propagándose.
Por otra parte, cuando un sistema basado en firmas acorta el tiempo de generación con el fin de ganar en velocidad de respuesta, usualmente es burlado por los gusanos que sean capaces de mutar automáticamente. La nueva tecnología, PWC, no se fundamenta en la generación de firmas. En lugar de eso identifica la tasa de paquetes o la frecuencia de conexiones, y la diversidad de conexiones a otras redes, lo que permite a la PWC reaccionar mucho más rápido que otras tecnologías.
"Muchos gusanos necesitan difundirse con rapidez para así hacer el mayor daño posible. De modo que nuestro software revisa anomalías en la tasa y diversidad de peticiones de conexión que salen de las máquinas", explica Peng Liu, profesor de ciencias y tecnología informáticas en la Universidad Estatal de Pensilvania e investigador principal del sistema PWC.
Cuando una máquina con una alta tasa es identificada, el sistema PWC la bloquea para que ningún paquete con el código del gusano pueda enviarse a otras partes.
Liu estima que sólo unas pocas decenas de paquetes infectados pueden enviarse a otras redes antes de que la PWC pueda poner en cuarentena el ataque. En cambio, recalca Liu, el gusano Slammer, conocido por los masivos ataques que hizo contra sistemas equipados con Microsoft SQL Server, en promedio envió 4.000 paquetes infectados cada segundo.
Debido a que altas tasas de transmisión no siempre indican la presencia de gusanos, el sistema PWC incluye dos nuevas tecnologías que pueden verificar si la máquina sospechosa está o no infectada.
El software PWC se puede integrar perfectamente con los sistemas existentes que filtran gusanos basándose en firmas. Los investigadores están realizando las últimas pruebas del sistema en modo beta, antes de su lanzamiento definitivo.
Liu admite que debido a que el sistema PWC se concentra en altas tasas de conexión para identificar a los gusanos, siempre cabe la posibilidad de que pase por alto gusanos de propagación lenta, pero ello no es en sí un problema insalvable, dado que las tecnologías actuales si pueden identificarlos, y el software PWC es compatible con los sistemas convencionales.
Los gusanos constituyen una seria amenaza para las redes, comprometiendo la operatividad de la red e incluso llegando a la Denegación de Servicio. Adicionalmente, los gusanos pueden abrir las puertas de las máquinas de la red infectada a ciberdelincuentes.
Información adicional en:
http://www.psu.edu/ur/2007/computerworms.html
