SQL Slammer aterroriza Asia SQLSlammer pone en serio peligro  las comunicaciones corporativos ARTICULO DE OPINION - "SQLSlammer: un ataque perfectamente evitable "

Por Fernando de la Cuadra (Editor Técnico Internacional de Panda Software)


El sistema operativo

Instalar un servidor que ofrezca un determinado servicio en una red no es algo tan sencillo como elegir un poco de hardware, otro poco de software, juntarlo y enchufarlo a la red. Además de eso, hay que preocuparse por mantenerlo, por analizar los informes de la actividad del servidor... Todas estas tareas son las que de verdad hacen de un servidor un sistema seguro.

La instalación del sistema operativo que funcione en un servidor corporativo debe venir avalada por dos factores: la seguridad del mismo y la disponibilidad, por parte del fabricante, de un soporte fiable y con la capacidad de respuesta adecuada ante los problemas que puedan surgir. Las instalaciones de software libre o de dominio público pueden acarrear más problemas que beneficios a la hora de enfrentarse a un problema de seguridad, ya que no hay una persona o firma que se responsabilice del producto.

Otro factor de seguridad es la versión del sistema operativo que se va a instalar. Aunque en muchos casos las versiones más antiguas son las que más cómodamente manejan los administradores y las que más soluciones han incorporado a posibles fallos de seguridad, son las más apetecibles para los ataques, ya que también los atacantes conocen más las vulnerabilidades.

Y una última consideración de seguridad en lo que se refiere a los sistemas operativos es que el fabricante del sistema vaya a soportar durante un cierto tiempo ese sistema. Por ejemplo, Windows NT Server 4.0 ya ha entrado en el proceso de considerarse un producto obsoleto, y en principio en Enero de 2005 dejará de ser soportado por Microsoft. Si se pretende que un equipo esté prestando un servicio durante más de 2 años, ese sistema ha dejado de ser apropiado.

El software

Una vez que se disponga del sistema operativo adecuado, en el que se haya elevado el nivel de actualización al máximo posible, debe empezar a operarse con el software para la tarea a la que se haya designado el servidor. Nunca se debe empezar probando con un software que no vaya a ser el definitivo, ya que pueden quedar instaladas funciones o servicios que no sean estrictamente necesarios para el propósito final. En muchas ocasiones las vulnerabilidades no son cubiertas correctamente por la sencilla razón de que no se parchean algunas aplicaciones que, al haber sido instaladas únicamente como prueba en una máquina, no están en explotación pero funcionan.

Una vez que el sistema esté en funcionamiento, se deben seguir permanentemente las informaciones que surjan acerca del sistema instalado -hardware, software y servicios añadidos- tanto desde el fabricante como de las distintas empresas de seguridad que ofrecen información de seguridad.

¿Y después?

Esta es la teoría. Desgraciadamente, y como podemos comprobar, está muy lejos de la práctica. Si los sistemas operativos estuvieran actualizados al nivel que el fabricante recomienda, las amenazas que circulan por la red estarían a un nivel mucho más bajo que el que observamos. Y no es cuestión de un determinado agujero, las vulnerabilidades aprovechadas para los ataques son muchas.

Podemos remontarnos a "Code Red", que en el verano de 2001 aprovechaba una vulnerabilidad descubierta y corregida con anterioridad. Si los administradores de sistemas instalados con Microsoft Internet Information Server hubieran tenido la precaución de tener actualizado el sistema, este código malicioso no hubiera pasado se ser una mera anécdota.

¿Más ejemplos? Klez.I, que aprovecha una vulnerabilidad de Microsoft Internet Explorer descubierta en la primavera de 2001 y que en 2003 sigue haciendo que el virus se propague y alcance las posiciones más altas en cualquier ranking de virus.

¿Qué hacemos con SQL Slammer?

El sistema para eliminar SQLSlammer es muy sencillo: al estar únicamente en memoria y no depender de ningún fichero, basta con reiniciar la máquina para que el código desaparezca de la memoria. Pero en cuanto los servidores que estén sin actualizar vuelvan a ponerse en marcha, tienen la posibilidad de volver a infectarse irremediablemente si no se han tomado las precauciones higiénicas adecuadas.

Para poder estar protegido contra SQLSlammer se necesita imperiosamente la actualización de Microsoft SQL Server, disponible en http://www.microsoft.com/technet/security/bulletin/MS02-039.asp. Por otro lado, y si la estructura de la empresa lo permite, bloquee en el firewall o en el router el puerto 1434, ya que es por donde entra el código. Pero eso sí, si en su empresa hay varios servidores SQL Server funcionando al unísono, no lo bloquee a no ser que quiera que el servicio de base de datos quede anulado.

Podemos pensar que esta semana se pueda ver agravado el problema al entrar en funcionamiento numerosos servidores que no hayan sido parcheados adecuadamente. Y además, numerosos equipos (desde usuarios domésticos hasta desarrolladores de software) pueden tener instalada la versión SQL Server 2000 Desktop Engine (MSDE) en Windows 98, Windows Millenium, Windows NT y Windows 2000 Professional, por lo que pueden tener problemas si SQLSlammer llega hasta las estaciones de trabajo.

Pero la prevención necesita muchísimo menos esfuerzo del que ocasionan los ataques una vez lanzados. Haga que el profesional a cargo de la red tenga a su disposición las herramientas necesarias para la completa protección de todos los sistemas de los cuales depende la continuidad de su negocio.