Yo, Bicho.

Algunos me llaman Kido, otros Disken, aunque puede que el nombre que me haya hecho más popular sea Conficker. En realidad no importa, sólo son nombres que me dan aquellos que me buscan para destruirme. Mi auténtico nombre es algo que, como mi creador, permanece oculto.

Soy un bicho, y esta es mi historia.

Nací hace algunos meses en un garaje de algún lugar del mundo, tras bastantes horas de esfuerzo. Allí mi creador me explicó lo que sería mi misión, y me transmitió el secreto que me permitiría avanzar entre los enemigos. “Busca el 445” me dijo, ese era el camino.

Una vez en la red, me apresuré a buscar ese 445 que me iba a permitir explorar este mundo que se abría ante mi. Desgraciadamente hoy en día los 445 no se exhiben así como así, sino que se encuentran bien guardaditos, al menos de puertas hacia fuera. Tenía que haber otra manera de pasar esas malditas puertas. Tras un par de vueltas a la cabeza y un par de copas en el bar de Blaster (sí, ese que montó tras retirarse) conocí a un bicho que aseguraba conocer el secreto para que Internet Explorer le abriera las puertas. No tenía nada que perder, así que decidí colaborar con él. Nos metimos en un disfraz de JPG y me dijo que me estuviera quieto y callado, y nos apresuramos a reenviarnos a tantos buzones de correo como pudieramos, con la esperanza de que alguno de ellos no se percatara de la trampa hasta que fuera demasiado tarde.

Pasadas unas cuantas horas y visitar algunos usuarios domésticos, alguien nos descarga desde su buzón de GMail, y al abrir la imagen… mi compañero cumple su palabra, me saca del disfraz y me libera para que prosiga con mi misión.

Miro a mi alrededor y efectivamente he pasado una de las puertas, estoy en un equipo edición profesional, y me pregunto como es posible que en estas empresas permitan que los usuarios consulten el correo de GMail o cualquier otro webmail público sin ningún tipo de restricción. Mejor para mí, ya estoy dentro…

Desde aquí puedo ver un montón de 445’s de equipos que tampoco tienen activados los cortafuegos personales. Me pregunto si tiene alguna utilidad que entre equipos de usuario este puerto sea accesible, además de servirme a mi para mis planes, o si la palabra “segmentación” y “filtrado” le dice algo a esta gente. Intento avanzar de equipo a equipo, consiguiéndolo en la mayor parte de ellos; a los usuarios (y a algunos administradores) no les gusta eso de aplicar parches de seguridad, de lo contrario ni siquiera hubiera podido pasar del Internet Explorer. El caso es que tengo un montón de equipos en los que andar a mis anchas.

En muchos de ellos están también aquellos que buscan destruirme, pero no me conocen, no saben cómo soy, y somos demasiados procesos como para que se den cuenta del tipo de acciones que estoy realizando.
Me copio en disco, bien escondido, y también en tantos dispositivos USB como encuentro, así si soy destruido mientras prosigo con mi misión, otro ocupará mi lugar.

Parece que finalmente he sido descubierto. Tanto andar a mis anchas de un lado para otro hace que todo vaya más lento; quizá la próxima vez debería ser más sigiloso. Han venido unos tipos y han capturado a varios de los nuestros, me preocupa que puedan interrogarlos y conseguir averiguar todo lo que saben sobre la misión. Mis peores temores se han hecho realidad, estos tipos de antes han debido avisar a aquellos que quieren destruirnos, porque ahora de repente nos reconocen, y saben cómo y dónde nos escondemos. Intentamos huir pero el 445 ya no me muestra el camino, no tengo escapatoria. Poco a poco, todos los compañeros caen, tras varios días de intensa batalla.

Parece que mi corta vida ha llegado a su fin, pero esto no va a quedar así. Volveré… Y estaré siempre un paso por delante de ti.

Comments

  1. Parece que esta juventud mejora de generación en generación. Antes (1988) sólo nos podíamos replicar por diskettes… ¡cof, cof! Ah, y sólo en un Apple II.

    Elk Cloner: The program with a personality

    It will get on all your disks
    It will infiltrate your chips
    Yes it’s Cloner!

    It will stick to you like glue
    It will modify RAM too
    Send in the Cloner!

  2. ah, por cierto, el comentario anterior se ha inspirado en kriptopolis (http://www.kriptopolis.org/25-aniversario-del-primer-virus-informatico). Así cumplo con el “kopyrait”

  3. Brillante Jose, absolutamente brillante, clap clap clap

  4. Muy bueno Jose, muy muy bueno. Ole tu caballero Selvi.

  5. Francisco Benet says

    A veces creo que la creación de un virus es como la creación de un hijo: siempre con el alma de su creador.

    Como diría un colega mio : “A fin de cuentas un virus es como el agua, golpea duro en su conjunto pero una gota no te puede hacer daño”.

    Jose, grande, pero ahora me gustaría ver el día a día de un adiministrador de seguridad : La incoherencia de la seguridad y el pragmatismo empresarial. La batalla siempre tiene dos bandos.

    Un saludo.

  6. Hola, gracias a todos por los comentarios, pensé que resultaría divertido por una vez darle la vuelta a los papeles y ponernos en la piel de esos “pobres bichitos”.

    Francisco, el día a día de un administrador de seguridad, como tú dices, es complicado, tenemos que lidiar contra aquellos que sólo piensan en la funcionalidad (sin pensar que la seguridad es a su vez funcionalidad, si un virus te para todos los servidores hoy en día casi cualquier empresa deja de ser productiva).

    Si nos das más detalles sobre que es lo que esperarías de ese post, intentaremos complacerte.

    Saludos y gracias de nuevo a todos por vuestros comentarios.

  7. Francisco Benet says

    José,

    ¿que esperaria? Bueno, te imagino (como me he visto muchas veces) lidiando con una tarea que requiere de concentración máxima al tiempo que se levantan fuegos por ambos lados. Por ejemplo, la infección de un ordenador de ¿Dirección? con la caída del firewall de Internet, y ¿por que no también diez usuarios que tienen sus claves bloqueadas y no pueden trabajar? (ademas de tener que realizar algun informe del acceso a internet – ups!)

    Bién, esta claro que teoricamente no solo hay un ‘operador’ ni un solo técnico y que puede haber más de una persona de comunicaciones, pero ¿Que pasaria en ese momento si de repente un worm se hace con el control de la gran mayoria de nuestra red?

    En fin, relatar el día a día de cualquiera de nosotros es relatar como el pragmatismo del técnico, su habilidad para conjugar varias tareas ‘críticas’ en cada momento, hace que el trabajo nunca sea una rutina real.

    Desde mi punto de vista no existe un orden ni un concierto en las actuaciones técnicas complejas (veamos : necesidad de soluciones rápidas cuando hay varias cosas en movimiento que afectan al funcionamiento de parte o toda la empresa), siendo imposible seguir una pauta (aunque los eventos ’emas’ definan criticidad juntate con 5 de criticidad alta y -perdon- jodidos) y veras.
    Decisiones rápidas que evitan el colapso real de la máquina que es la empresa.

    Sobre todo gracias por tu atención.

  8. La cualidad que comentas es efectivamente la principal para un Incident Handler, probablemente por encima incluso de la capacidad técnica. Se resume en una frase “to be the island in the storm” (ser la isla en la tormenta). Básicamente, que mientras tus compañeros gritan “vamos a morir todos!” y tu jefe no para de chillarte al oido presa del pánico, tú puedes ausentarte de todas esas presiones y pensar únicamente en el problema, en la información que has podido recopilar, y en qué sucesión de medidas de contención debes tomar para controlar el problema.

    Todo eso, desde luego, con su dosis de “arte” muy al estilo “House”, porque el conocimiento total no lo tendrás nunca, tendrás partes de la información y tendrás que deducir que está pasando en realidad para poder darle un remedio, a veces podrás hacer más pruebas que te saquen de dudas y a veces no.

    Desde luego, no me gustaría estar en la piel de un pobre hombre encargado de los sistemas de una empresa, sin haber tenido ningún tipo de formación en seguridad, que se enfrente a una plaga masiva de virus.

  9. Muy bueno

  10. Muy chulo el post. Enhorabuena bichejo!

  11. Me ha gustado ver como “pensaría” un bicho si tuviera la posibilidad de hacerlo.
    Muy ilustrativo, si señor.

  12. Rafael Alfaro says

    Almenos, como bicho bien nacido diste mucha guerra (y mucho trabajo) hasta que te pillaron. ¡Lo que te debiste divertir! Buscando equipos vecinos, saltando de unos a otros y probando contraseñas sencillas por si algún despistao había usado ‘patata’.
    Creo que han nacido más hermanos tuyos (mejorados) que continuarán esta guerra…

    Por la parte de los administradores de seguridad: No hay que dormirse. Tenemos que formarnos para estar preparados, ante cualquier eventualidad y sobretodo tener la mente sana y despejada para hacer lo que comentas “to be the island in the storm”.

    Breve, sencillo y fácil de entender. Simplemente brillante.

  13. Muy ingeniosa la forma de representarlo.

    Pero voy a hacer de ‘abogado del diablo’ …. si me lo permites.

    Se supone que en una empresa debe existir un equipo de técnicos de informática y un equipo de técnicos de seguridad, y así disponer de una adecuada segregación de funciones.

    Bien es cierto que en muchas de ellas no existe dicha segregación (el mismo técnico es a la vez juez y parte), y en otras muchas los conocimientos de seguridad que tiene el técnico son escasos o nulos.

    Pero a lo que iba, supongamos que la empresa dispone de esos dos equipos diferenciados y perfectamente competentes en las habilidades que se les suponen. El experto en seguridad debería conocer cual es el grado de exposición al riesgo de infección, entre otras cosas, y verificar que el nivel de parcheado de los equipos es correcto, así como ‘marcar’ de cerca a los técnicos de informática y denunciar aquellas situaciones / configuraciones que puedan suponer un riesgo para la empresa. Por supuesto, lo mismo aplica respecto a los usuarios.

    Gracias Jose.