 |
Computación: El gusano Blaster en entornos corporativos |
 |
Enviado el Sábado, 30 agosto a las 15:10:17 por Draving |
 Los primeros reportes sobre el gusano Blaster apuntaban a que los principales afectados eran los usuarios domésticos. Con el paso de las horas y los días se detectó un incremento considerable en los entornos corporativos, a priori protegidos contra este gusano gracias a sus medidas de seguridad perimetrales. El origen de muchos de estos incidentes fueron causa del uso de portátiles y usuarios remotos, grandes olvidados de las políticas de seguridad.
Las características del gusano Blaster, que se propagaba a través de una vulnerabilidad del interfaz RPC de Windows, conectándose con sus víctimas por el puerto TCP/135, lo hacían idóneo para infectar a usuarios domésticos. Dejando a un lado a los usuarios de ADSL que suelen contar con la protección adicional del router, o a los más previsores que cuentan con firewalls personales, la mayoría se conectan a Internet de forma directa y transparente, permitiendo el acceso indiscriminado a todos sus puertos.
Por contra, la mayoría de las corporaciones cuentan con sistemas de protección perimetral, como los firewalls, que impiden el acceso indiscriminado desde Internet a los sistemas locales, protegen los puertos no públicos de los servidores hospedados en la DMZ, etc. Aunque se pueden encontrar deshonrosos casos donde Blaster consiguió infectar entornos corporativos directamente desde Internet, por ejemplo a través de servidores públicos con el puerto TCP/135 accesible y con conexiones a recursos de la red local, lo cierto es que durante las primeras horas de Blaster el impacto en las corporaciones fue muy limitado.
Sin embargo, a medida que pasaban las horas aumentaban las incidencias en entornos corporativos, donde a priori no era posible una vía de comunicación a través del puerto TCP/135 y sus sistemas. Hispasec, previa demanda de las empresas afectadas, ha actuado en varios de estos entornos.
En primer lugar se ejecutó un plan de choque para eliminar el gusano y prevenir futuras infecciones, para lo que tuvimos que desarrollar una herramienta que desinfectara y parcheara los equipos sin necesidad de recurrir a las actualizaciones de Microsoft. Este ha sido uno de los talones de Aquiles de las soluciones gratuitas facilitadas por los antivirus en este caso, que eliminaban el gusano pero no actuaban previniendo futuras infecciones, quedando en mano de los administradores o usuarios la instalación de los parches de Microsoft si no querían verse de nuevo afectados. La realidad es que existen formas de hacer ambas funciones, desinfección y prevención, en un sólo paso y en cuestión de segundos. Es de esperar que a corto o medio plazo las soluciones antivirus evolucionen y tengan un papel más activo en este terreno.
Pasada la tormenta, quedaba la auditoría de los sistemas de seguridad perimetrales para detectar un posible agujero que hubiera permitido la entrada de Blaster desde Internet. En la mayoría de los casos no era posible que Blaster hubiera infectado a través de Internet de forma directa. Una revisión del plan de seguridad corporativo sí evidenciaba varios agujeros potenciales, en su mayoría relacionados con el uso de portátiles y los usuarios remotos, que pudieron ser confirmados con posterioridad.
El caso típico de los portátiles consistía en su uso indiscriminado por parte del usuario tanto en su domicilio particular, donde se conectaba con él a Internet, así como en la oficina, donde lo conecta a la red corporativa. El resultado, el portátil se infecta mientras lo utiliza en casa conectado a Internet, ya que no cuenta con los sistemas de protección perimetrales corporativos, e infecta a la empresa cuando lleva el portátil a la oficina y lo conecta directamente a la intranet o red local.
Otro caso que nos encontramos fue el de los usuarios móviles o remotos, que bien por teletrabajo o necesidades puntuales, conectaban con la intranet a través de redes privadas. La historia era muy similar a la de los portátiles, los equipos utilizados se infectaron desde Internet, y Blaster lograba posteriormente infectar a las corporaciones cuando el usuario accedía a los recursos internos de forma remota desde el sistema ya infectado.
Además de proporcionar herramientas para este tipo de usuarios, que permiten controlar la política de seguridad de esos sistemas de forma centralizada y remota, de manera independiente a donde estos se encuentren (domicilios particulares, usuarios móviles, etc), Hispasec pudo corroborar el mal estado en que se encuentra la seguridad interna de las corporaciones, lo que provocó que el gusano pudiera campar a sus anchas por la intranet causando estragos.
Recuerdo que hace unos meses, durante las jornadas de e-Gallaecia 2003, Jesús Cea y yo dejamos en bastante mal lugar a los antivirus perimetrales. Uno de los motivos de crítica, de manera independiente a sus debilidades intrínsecas que ya quedaron patentes en algunas de las demostraciones que realizamos, es que suelen crear una falsa sensación de seguridad, que lleva a relajar y descuidar las políticas de seguridad interna, tanto en el ámbito técnico como desde el punto de vista de las prácticas de los usuarios. De forma que al final suele ocurrir que se descuidan los antivirus en las estaciones de trabajo o que el usuario abra todo lo que le llega confiando que el antivirus perimetral es infalible.
Nadie puede negar de las ventajas de las soluciones de seguridad perimetrales, ya sean firewalls, antivirus, IDS, etc., pero hay que ser conscientes de que no pueden ser excusas para relajar la seguridad local. La experiencia demuestra día a día que son muchos los ataques que provienen desde el interior, que las soluciones perimetrales son en algún momento vulnerables y que debemos contar con que algún atacante consiga acceso remoto, o que, como en este caso, amenazas diseñadas para Internet terminan colándose en nuestras intranets.
|
|
|
|
|
| |
|
Enlaces Relacionados |
|
|
|
Votos del Artículo |
|
Puntuación Promedio: 0
votos: 0
|
|
|
|
|
|
Opciones |
|
|
|
Theme Design By Aclantis Hosting
Powered By PHP-Nuke 
Inicio (Noticias):
Miembros:
Comunidad:
Estadísticas:
Documentaciones:
