Proyecto TrackUZ

 

 

Introducción

 

Actualmente Internet, además de proporcionar numerosos servicios útiles, se ha convertido en un medio de propagación de virus y gusanos informáticos que pueden presentar una grave amenaza para cualquier máquina que se encuentre conectada a la red. Este tipo de programas malintencionados permiten a sus creadores controlar remotamente el ordenador comprometido, pudiendo realizar con él lo que quieran. La primera acción que les obligan a realizar es la de intentar propagar la infección a otros ordenadores de la red que sean vulnerables a este tipo ataque. Si este intento resulta efectivo, la nueva máquina contagiada se convierte en un nuevo foco de infección. Los ordenadores susceptibles de sufrir este tipo de infecciones son aquellos que no tienen debidamente actualizados sus sistema operativo y antivirus.

 

Desde el Servicio de Informática y Comunicaciones de la Universidad de Zaragoza tratamos en todo momento de desarrollar e implementar sistemas para mejorar la seguridad de nuestra red. Con este objetivo y en línea con otras iniciativas, se creó el proyecto TrackUZ.

 

Descripción

 

El Proyecto TrackUZ tiene como finalidad el tratar de localizar y "bloquear" las máquinas que se encuentren infectadas dentro de nuestra red y que pueden suponer una amenaza tanto para sus propietarios como, especialmente para el resto de los ordenadores. En concreto cuando una máquina es detectada, se limita el acceso de las máquinas infectadas restringiendo las conexiones que estas pueden realizar hacia Internet y viceversa. De esta forma logramos minimizar el impacto que los ataques de estas máquinas tienen sobre la red, evitando asimismo que puedan ser manejadas de forma remota por un posible atacante. Este bloqueo no impide que ésta pueda conectarse a ordenadores de la propia Universidad, como los servicios de correo electrónico o los servidores de ficheros.

 

TrackUZ realiza una valoración sobre la posibilidad de que una máquina esté o no infectada en base al tráfico que ésta tiene en la red. Este método ha demostrado su validez, con un índice de falsos positivos prácticamente nulo, pero no es un sistema infalible: Dada la constante evolución de este tipo de amenazas, no se puede garantizar que todos los gusanos o virus de red puedan ser detectados por él.

 

La comunicación al usuario indicándole que su máquina está infectada se realiza mediante una página web de aviso a la que es redirigido al intentar visitar cualquier página de Internet. En esta página web se muestra información acerca del compromiso que ha sufrido, asi como las instrucciones a seguir para restaurar el servicio. La página informativa del bloqueo tiene una apariencia como la siguiente imagen.

 

 

En esta página además de mostrarse información sobre el tipo de compromiso, se habilitan procedimientos para que el servicio sea restaurado de la forma más ágil posible. Una vez que la máquina se encuentra limpia es necesario contactar con personal del Servicio de Informática y Comunicaciones para habilitar de nuevo la conexión de la máquina filtrada.

 

Adicionalmente se ha habilitado un sistema de aviso directo por medio de correo electrónico, con el fin de informar directamente al responsable de una máquina cuando ésta se encuentre comprometida. El alta en este sistema debería ser imprescindible para aquellos equipos que no se utilizan habitualmente para navegar por Internet, en particular servidores y máquinas desatendidas. El registro y consulta de este servicio se realiza a través de la dirección http://trackuz.unizar.es/registro.php. En este sistema, y previa validación con la clave de correo electrónico, el responsable de un ordenador puede registrar la dirección IP y la cuenta de correo electrónico en la que desea ser avisado.