Hace 20 años: recordando el ILoveYou …


El virus infectó a unos 50 millones de sistemas en todo el mundo, a menudo inutilizándolos, y su reparación costó más de $ 15 mil millones.

Hoy en día, la mayoría de los expertos en seguridad ven el virus ILoveYou como uno de los primeros ataques de ingeniería social más destructivos que buscan aprovechar las fragilidades humanas. Pero el 5 de mayo de 2000, el día en que el virus ILoveYou golpeó con fuerza, los grandes ataques mundiales de World-wide-web basados ​​en correos electrónicos maliciosos eran territorio desconocido.

Ese día, Todd Heberlein period un contratista de la Fuerza Aérea y estaba recopilando datos para encontrar formas más efectivas de detectar y remediar gusanos informáticos. En el proceso, encontró datos de huellas digitales eso mostró que casi 500 conexiones a Internet se vieron afectadas con exactamente la misma huella digital. Este virus, que pronto se llamará ILoveYou, se movió muy rápido, y pronto la Fuerza Aérea estuvo en el caso.

Para aquellos que no estaban en la fuerza laboral hace dos décadas, el virus ILoveYou infectó unos 50 millones de sistemas en todo el mundo, a menudo inutilizándolos, y su reparación costó más de $ 15 mil millones.

Veinte años después, Richard Bejtlich también tiene un claro recuerdo de ese día. En ese momento él period parte del Equipo de Respuesta a Emergencias Informáticas de la Fuerza Aérea (AFCERT), que respondió a ILoveYou.

La Fuerza Aérea tenía una forma única de responder al virus, dice Bejtlich, quien ahora es un estratega de seguridad principal en Corelight. Aprovechó el sistema de detección de intrusos de Medición Automática de Incidentes de Seguridad (ASIM) (basado en la tecnología que Heberlein se acredita con el desarrollo), que tenía 144 sensores desplegados en 121 bases de la Fuerza Aérea en todo el mundo. El ASIM le dio visibilidad al equipo sobre el tráfico de correo electrónico, y podría ejecutar restablecimientos de TCP para evitar que el correo electrónico entrante llegue a los escritorios de los usuarios.

«Los reinicios de TCP no deberían ser una técnica principal de defensa de la red, pero funcionaron lo suficientemente bien en nuestra situación como para ganar tiempo para que nuestros administradores de correo actúen», recuerda Bejtlic. «Además, hoy no uso restablecimientos TCP, pero en 1998 a 2001, cuando estaba en el AFECTO, funcionaron bien en emergencias. También los usamos comercialmente en un proveedor de servicios de seguridad administrados que ayudé a construir en 2001/2002 «.

Este gráfico muestra la cantidad de conexiones de restablecimiento de TCP / por hora AFCERT realizadas para contrarrestar el error ILoveYou cuando se disparó el 5 de mayo de 2000. Observe cómo el virus permaneció activo durante una semana más.

Este gráfico muestra la cantidad de conexiones de restablecimiento de TCP / por hora AFCERT realizadas para contrarrestar el error ILoveYou cuando se disparó el 5 de mayo de 2000. Observe cómo el virus permaneció activo durante una semana más.

El error ILoveYou causó muchos estragos porque aprovechó los scripts predeterminados de Visual Fundamental en Outlook que en ese momento eran fáciles de acceder y ejecutar para los usuarios (y en este caso, los hackers). Una vez que el virus ILoveYou ingresó a la cuenta de correo electrónico de un usuario, se envió a cada persona en la lista de contactos del usuario. Los destinatarios verían «ILOVEYOU» en el encabezado del asunto del correo electrónico, con un mensaje que decía: «Favor de revisar el LOVELETTER adjunto».

El correo electrónico vino con un archivo adjunto llamado Appreciate-LETTER-FOR-YOU.txt.vbs. Este virus, junto con Melissa un año antes, fueron precursores de otros ataques maliciosos que se adjuntaron a correos electrónicos simples.

«Estaba en Boston cuando trabajaba para Gartner en un cliente de atención médica, y todo el equipo de seguridad llegó tarde a nuestra reunión», recuerda John Pescatore, quien ahora es director de SANS. «Recuerdo que dijeron que el gusano ILoveYou sobrescribió sus sistemas, muchos de los cuales no estaban respaldados, y perdieron muchos datos».

En 2002, después del virus Melissa en 1999, ILoveYou en 2000 y el gusano Code Crimson en 2001, Invoice Gates declaró seguridad Trabajo No. 1 en Microsoft. Pescatore dice que la compañía tardó seis o siete años en mejorar finalmente.

En muchos sentidos, Microsoft tenía pocas opciones. A fines de la década de 2000, Apple había lanzado el primer Apple iphone y Google había ganado tracción, por lo que Microsoft tenía más competencia que en la década de 1990. Además, la comunidad de usuarios estaba presionando por el cambio. Otros desarrollos condujeron a mejoras de seguridad, también. Los primeros sistemas de información de seguridad y gestión de eventos (SIEM) se lanzaron a fines de la década de 1990 y durante la década de 2000, y en los últimos tres a cinco años más desarrolladores conscientes de la seguridad han ingresado a la fuerza laboral que presionan para incorporar la seguridad en los productos desde el momento de desarrollo inicial

«Recuerde que los SIEM fueron una gran mejora», dice Pescatore. «En los primeros días, los sistemas de detección de intrusos enviaban 10.000 alertas, y no había forma de determinar qué period importante. Ha habido avances reales en la gestión de registros y las herramientas de correlación».

El mistake ILoveYou fue lanzado en Filipinas por Onel de Guzmán, quien introdujo la thought por primera vez como parte de su tesis de pregrado. Su idea era liberar el virus para que las personas que no podían pagar el acceso a Internet pudieran tener una entrada gratuita a la World wide web, una strategy que sus profesores rechazaron rápidamente. Nunca fue declarado culpable de ningún delito, en gran parte porque no había leyes contra tales delitos cibernéticos en ese momento.

Contenido relacionado:

Steve Zurier tiene más de 30 años de experiencia en periodismo y publicaciones, la mayoría de los últimos 24 de los cuales se dedicaron a la tecnología de redes y seguridad. Steve tiene su sede en Columbia, Maryland. Ver biografía completa

Lectura recomendada:

Más strategies





Enlace a la noticia unique