Comenzó en Vietnam, siguió por China y se expande por el mundo, sin que haya cura posible conocida hasta el momento. En una línea, esa es la descripción que se puede hacer hasta ahora de la enfermedad conocida en español como “neumonía atípica” y en inglés como “Severe Acute Respiratory Syndrome” (SARS).
Tal como las personas se ven afectadas por virus e infecciones, lo mismo ocurre con los computadores y me interesa especialmente comentarlo en estos días, cuando se han comenzado a entregar los primeros análisis más completo del último ataque conocido, que fue el gusano bautizado como “Slammer”, “Sapphire” o “SQL Hell”.
Su aparición ocurrió en la madrugada del sábado 25 de enero pasado y a diferencia de todos los ataques anteriores que se han conocido, a éste le tomó sólo 10 minutos afectar a todo el mundo. Literalmente, a todo el mundo, puesto que a través de la Internet pudo moverse por todos los países conectados y afectar rápidamente a los servidores que cumplían con los requisitos. Estos eran tener instalados y funcionado, Microsoft SQL Server o Microsoft SQL Server Desktop Engine. Y estar conectados a Internet, por supuesto.
De acuerdo a un completo análisis de la Computer Science Division Office de la Universidad de California en Berkeley, cuando el gusano llegaba a un servidor, generaba una copia de sí mismo y la enviaba por la red a otros servidores, a una velocidad tal, que se estima que cada 8,5 segundos creció al doble. Su principal efecto fue que debido a que transmitía datos de esa manera tan veloz, causó problemas por el alto tráfico que generó en la red y al mismo tiempo, generó desbordes de memoria (buffer overflow) que dejaron fuera de funcionamiento a servidores en todo el mundo.
Así hubo computadores del Bank of America, de Continental Airlines y de la propia Microsoft Corp. que simplemente dejaron de funcionar, porque se “fundieron” en las tareas de propagación hacia otras máquinas que hacía de este gusano. De hecho, la publicación C-Net calcula en mil millones de dólares las pérdidas por este ataque.
Pero, y aquí está lo interesante del caso, “Slammer” no hizo nada en cada una de las máquinas. Es decir, las atacaba y desde ellas comenzaba la propagación a otras computadores ocasionando que las redes dejaran de funcionar por el alto tráfico generado y los desbordes de memoria debidos a su operación. Pero aparte de eso, nada más. No borraba archivos, no intervenía en los registros de las bases de datos, ni cambiaba nada.
Está bien, estoy de acuerdo que irrumpir en un servidor de bases de datos con un gusano y hacer que funcione mal es un ataque concreto. Pero, para arreglar sus efectos bastó con reiniciar las máquinas y aplicar un parche de seguridad de Microsoft, que de hecho estaba listo desde junio del 2002 (por lo que quienes estaban al día en sus actualizaciones, se salvaron de este ataque). Es decir, el ataque sólo fue una molestia.
No obstante, para quien creó el gusano, este ataque sirvió para probar varias cosas. Por ejemplo, y para nombrar sólo dos: que se puede propagar un ataque por el mundo en cosa de segundos y que es posible programar algo dañino con muy poco código (el programa del gusano tiene 376 bytes).
Tras ver estos datos queda la sensación de que su autor hizo un ensayo general para lanzar un ataque mayor, que efectivamente dañe en forma permanente a los computadores en los que se instale, sin que nadie pueda detenerlo. Tal como por estos días, parece ocurrir con la neumonía atípica sobre los seres humanos.
¿Quieres saber más?
- Información sobre la neumonía atípica en la OMS (en inglés)
- Información sobre la neumonía atípica en Chile
- Análisis de la Computer Science Division Office de la Universidad de California en Berkeley
- La definición de buffer overflow (en inglés)
- Los afectados por el gusano, según C-Net (en inglés)
- Soluciones de Microsoft para el Slammer (en inglés)
- Reportes del incidente en Clcert.cl