Actualmente, el término “viernes
negro” se asocia a nuestras ansias consumistas. Un día diseñado para el
consumidor, en el que puede liberar esa fuerza inhumana que impulsa a ciertas
personas a volatilizar cualquier atisbo de ahorro. Pero esto no es así. Originalmente,
un viernes negro era un día fatídico, señalado así por la ocurrencia de un acto
luctuoso, o incluso un desastre financiero (no, el crack del 29 cayó en
jueves), que vendría a ser recordado así en años venideros.
El viernes 12 de mayo fue un verdadero
“viernes negro” para muchísimos administradores de sistemas y personal de
seguridad. Esa mañana, con un mecanismo clásico y nada original, inaugurado por
el gusano de Morris hace 30 años, comenzó a replicarse WannaCry. Fue tal el
latigazo mediático que hasta las cabeceras de los noticieros se llenaron de
palabros incomprensibles para el espectador medio. El resto es historia,
reciente y conocida por todos, sufridas en sus carnes por algunos compañeros de
oficio.
Nunca se supo con absoluta certeza si
el arponazo original fue una campaña de phishing dirigida (spear phishing) o
servicios samba expuestos públicamente. La primera opción, desde luego, fue
perdiendo fuelle conforme pasaba el tiempo y no arrojaba resultados
conclusivos. El supuesto correo original no aparecía por ninguna parte, sin
embargo, a la luz del hecho de que un gran número de corporaciones y grandes
empresas comenzarán a activar sus protocolos de contención, alguna que otra voz
se alzó teorizando acerca de un posible uso de un zeroday. El muy efectivo
ETERNALBLUE. Resultó curioso, porque el vector característico del ransomware es
el correo, a la caza del usuario desprevenido, y nadie se esperaba un RCE con
replicación a la Conficker.
No dudamos en que se tomaron las
medidas adecuadas, se actualizaron protocolos y se endurecieron políticas de
seguridad (recordemos las lecciones aprendidas por Google tras la operación
Aurora). Pero sí o sí el fallo, bastante grave, estaba allí. No nos estamos refiriendo
a la exposición de un servicio sin parchear, que ya de por sí otorgaría la
suficiente fuerza para arquear las cejas, nos referimos a la muy cuestionable
idea de exponer un servicio que no es (o no debería serlo) a priori vital para
la organización.
Si pensamos en cómo están
estructuradas algunas redes internas, en cómo algunos clientes conectan "a
las bravas" con carpetas compartidas en una topografía plana y seguimos
tiramos del hilo hasta alcanzar un servidor samba escuchando hacia Internet,
probablemente la segunda opción de la que hablábamos no suene tan alocada. Toda
una combinación de factores inocentes por sí mismos pero letales cuando entran
en combinación. Un zombi da con el servidor que "teníamos por ahí
perdido", infecta, nuestro servidor se vuelve contra nosotros, redes
planas, equipos sin parchear y...París era una fiesta.
¿Si una infección por ransomware vía
ingeniería social nos está evidenciando un nivel de concienciación deficiente,
qué nos está enseñando un ataque como el de WannaCry? En primer lugar, dejar un
servicio probablemente no vital escuchando hacia Internet. No, no valen las
excusas de que era necesario, puesto que si lo era no estaba debidamente
parcheado, filtrado o controlado. En segundo lugar, no fragmentar adecuadamente
un servicio de la DMZ con la red interna donde se conectan los empleados. En
tercer y último lugar, es evidente que las estaciones de trabajo tampoco
estaban parcheadas. Podríamos seguir tirando del hilo: ausencia de IDS,
actualización de las reglas del mismo, etc, pero creemos que con esto es
suficiente.
Realmente, deberíamos sopesar si en la
clásica ecuación seguridad-flexibilidad nos estamos dejando llevar por las
quejas de los usuarios o los ajustadísimos presupuestos (talla 34) de los
departamentos de seguridad no dejan margen para las sutilezas.
El "todo deprisa y corriendo" es una fortuna caprichosa que golpea en el momento más inesperado. Mientras el truco funciona la seguridad siempre parece un desperdicio de recursos, pero cuando los planetas se alinean y los sambas susurran entre ellos...nos encontramos a milímetros de la tragedia y entonces, durante un breve espacio de tiempo, la seguridad nos parece atractiva, elegante, necesaria, confortable y ¡chas!, por arte de magia, ya no hay fondo en el bolsillo.
El "todo deprisa y corriendo" es una fortuna caprichosa que golpea en el momento más inesperado. Mientras el truco funciona la seguridad siempre parece un desperdicio de recursos, pero cuando los planetas se alinean y los sambas susurran entre ellos...nos encontramos a milímetros de la tragedia y entonces, durante un breve espacio de tiempo, la seguridad nos parece atractiva, elegante, necesaria, confortable y ¡chas!, por arte de magia, ya no hay fondo en el bolsillo.
Más información
- Gusano Morris https://es.wikipedia.org/wiki/Gusano_Morris
- Un ransomware ataca a múltiples compañías http://unaaldia.hispasec.com/2017/05/un-ransomware-ataca-multiples-companias.html
- WannaCry y las lecciones que nunca aprendemos http://unaaldia.hispasec.com/2017/05/wannacry-y-las-lecciones-que-nunca.html
Fuente: Hispasec.com