Buenas,
Aprovecho que estos últimos días han estado movidos en el tema botnets para lanzar al aire una serie de comentarios.
El pasado 16 de Febrero Damballa publicó su top ten de incidentes debidos a botnets criminales, situándose el infame Zeus en primera posición, con un 19% de nuevas víctimas coporativas integradas en su red. No le anda a la zaga Koobface, otro conocido de la escena. Para todos aquellos que queráis profundizar en el tema, pasaos por el blog del amigo Dancho, que suele publicar al respecto con bastante asiduidad. El asunto da para mucho, y podríamos estar años hablando de esta problemática.
El malware provoca daños allá por donde pasa. Da igual que sea en un ordenador doméstico o en un servidor empresarial. El objetivo es el mismo, y aunque ampliamente matizable, al final se trata de apoderarnos de lo que no es nuestro. Aun así, cada ámbito tiene sus ventajas y desventajas, pero en ninguno de los dos casos son sencillas las soluciones. En casa sólo hay que controlar un ordenador, pero, ¿tiene todo el mundo recursos y conocimientos para evitar el malware? No. En el ámbito empresarial tenemos otra importante disyuntiva, complementaria a la anterior. Ahora no se trata de controlar un equipo, sino miles. Pero en esta ocasión si hay recursos y conocimiento (o debería haberlos) para controlarlos. ¿Quiere decir esto que la seguridad corporativa es más fácil que la doméstica? Tampoco.
Me vais a permitir que hoy no me centre en el ámbito doméstico. Sigo creyendo que un buen antivirus para lo conocido y una buena dosis de sentido común, conocimiento y prudencia para lo desconocido pueden mitigar la mayor parte de los problemas, por mucho que se empeñen algunos en reducirlo todo a que en Linux no hay problemas con los troyanos o que con la última versión de Windows 7 tu equipo será infranqueable. Creo que estaremos todos de acuerdo que un buen antivirus y sentido común no parecen suficientes para afrontar la seguridad corporativa.
El asunto no es fácil de digerir. ¿Es la lucha contra el malware un asunto puramente económico? No. Las grandes dotaciones presupuestarias no tienen por qué ser efectivas en este campo. ¿Es un asunto puramente tecnológico? Tampoco, ya que disponer de la mejor tecnología de seguridad tampoco te exime de sufrir problemas. ¿Es entonces un asunto comportamental o humano? Sería injusto reducirlo sólo a eso. ¿De qué estamos hablando entonces? ¿Esto cómo se afronta?
La solución es muy fácil de enunciar sobre el papel. Se trata de disponer, simultáneamente, de dotaciones presupuestarias efectivas para robustecer la seguridad así como invertir en el capital humano para mejorar su concienciación y entrenamiento, con el objetivo gradual de ir reduciendo el rato de incidencias hasta dejarlo en cifras residuales asumibles en cuenta de resultados. Esto que se escribe en dos líneas se traduce al final en millones de euros, no sólo por las pérdidas que provocan los incidentes, sino porque la tecnología y la concienciación cuestan mucho dinero, y amigos míos, aquí no hay fórmulas mágicas que se amolden a todos los escenarios. Ojalá tuviéramos una guía de los diez pasos para invertir y sufrir lo mínimo que fuera apicable a cualquier entorno y bajo cualquier circunstancia, pero como no la tenemos, hay planificar, invertir con inteligencia, implantar controles efectivos y en función a las desviaciones, volver a comenzar. Y todo esto sin olvidar que hagamos lo que hagamos en seguridad, el impacto en la sostenibilidad y rentabilidad del negocio debe ser el mínimo posible.
2009 ha sido, posiblemente, el año de los botnets corporativos. Nada me hace pensar que en 2010 mejore mucho el panorama actual, fundamentalmente porque lo que hemos enunciado antes en nuestro papel ya llevan años haciéndolo los amigos de lo ajeno. Los criminales combinan con eficacia y eficiencia la inversión (no les falta capital), la tecnología (siempre mejoran la aplicación de sus recursos tecnológicos) y la concienciación (reclutan y forman de modo continuo a especialistas). Esta letal combinación de los tres ejes claves de la seguridad es la que hace que esta gentuza que nos roba dia a día propiedad intelectual, dinero en la cuenta del banco, secretos industriales, información financiera reservada y ese largo etcétera de jugosos activos sea hoy en día prácticamente imparable.
Quizás vaya siendo hora de aprender del enemigo, pero que nadie crea que esta será una tarea sencilla.
Un saludo,
buenas,
Actualmente me encuentro trabajando en este frente dado que en un gran organismo para el que trabajo, esta problemática está a la orden del día. El parque de PC es muy grande y todas las semanas enviamos un listado de equipos a revisar/analizar por posibles infecciones.
Al respecto, estoy intentando definir un protocolo de limpieza porque una vez que se notifica que un equipo tiene algo, lo siguiente es que el personal técnico «lo analice» sin tener claro qué hacen exactamente. Mucho del malware de estas últimas oleadas es muy sofisticado y puede que un simple escaneo no sea suficiente si la máquina está infectada. ¿Te suena algún tipo de procedimiento/protocolo establecido o buena práctica que exista?
No se si ya hay algún LIVE-CD que incluya aplicaciones relacionadas con el malware para iniciar el proceso de desinfección bajo un sistema operativo ajeno y no infectado.
Hola Javier,
Efectivamente, como bien dices, el malware de la última hornada es muy sofisticado y puede que un simple escaneo no sea suficiente para determinar el grado de infección. Especialmente problemático si estamos ante una amenaza avanzada persistente (APT, http://www.mandiant.com/services/advanced_persistent_threat/)
No me suena que haya un protocolo como tal escrito, ya que cómo actuar dependerá del tipo de infección. En algunos casos bastará con la ejecución de herramientas de eliminación en caliente (por ejemplo http://vil.nai.com/vil/stinger/), otras veces un live cd (http://www.livecdlist.com/purpose/windows-antivirus) y en algunas ocasiones, hay que hacer un forense completo más la correspondiente tarea de ingeniería inversa si fuera preciso. Siempre hay que intentar averiguar la actividad del malware detectado o sospechado, ya que cada caso requiere distinto tratamiento, aunque esto es costoso y requiere mucho conocimiento.
De manera simplificada, si se tiene constancia o sospecha de infección, yo haría una captura de tráfico de red (para ver qué hace el bicho), me llevaría un volcado del registro y me plantearía el análisis forense, lo cual requiere tiempo y conocimiento. Si se trata de malware elemental y conocido, limpieza y devolución al usuario, y si se tienen dudas, reimagen del equipo y a correr.
El problema viene con los APT, ya que estos ni te los hueles y de nada te servirá un mero análisis de tráfico o un forense sin excesiva profundidad. Tampoco puedes plantearte ir por la organización analizando PCs porque es absurdo e inviable. Estos sólo son detectables si por alguna razón se detectan patrones anormales en el tráfico perimetral, y esto no es nada, nada sencillo. En definitiva, si tienes una infección por APT, lo más probable es que te enteres una vez causado el daño. Aquí no puedo decirte mucho más, ya que el diseño de una solución de vigilancia para APTs es tremendamente complejo y requiere, sin duda alguna, la participación de un equipo experto de implantación y mantenimiento.
Un saludo,
Otra de las cosas malas en entornos corporativos PYME es que ni siquiera dedican $$$ ni esfuerzo para estas tareas y para cuando se dan cuenta, siempre es tarde. Lo digo por experiencia…triste pero pasa mucho. :(
Que tal Sergio, me gustara que me dieras tu opinion sobre el articulo que acabo de publicar en mi Blog ( estoy empezando).
Si tienes tiempo me gustaría que le echaras un vistazo (no es nada largo) y me dieras una opinion y de paso me echaras un cable, gracias amigo. Ya sabes que te sigo a diario.
Hola xneo72,
Si te refieres a lo que has escrito de Scanline (http://hackdosx.blogspot.com/2010/02/scanline-la-sombra-de-nmap.html), la verdad, poco tengo que decir, ya que no he utilizado esa herramienta.
Veo que como ventajas citas la rapidez, mejor scanning UDP, captura de banners automáticas, en fin, entiendo que siempre es bueno tener alternativas a nmap.
¿Que tal anda el mundo de los plugins? Casi todo el mundo tiene plugins para nmap (Nessus, Metasploit). ¿Has probado a integrar Scanline con otras herramientas?
Un saludo,