Las
noticias sobre el ataque
a Github han dado la vuelta alrededor del mundo y ya es sabido que es el
mayor ataque realizado hasta ahora. Vale la pena recordar que estos ataques
siguen aumentando en capacidad e intensidad.
Pero esto
no es nuevo, ya el año 2016 presenció severos ataques contra proveedores de
servicio DNS y el conocido periodista del blog KrebsonSecurity.
El común denominador de estos ataques fue una capacidad inusitada en el ancho
de banda utilizado. Ya no son raros los ataques de 400 Gbs o más.
En la entrega
anterior expliqué brevemente como se desarrolla un ataque DoS. La fórmula conocida,
pero a veces opacada por su primo ransomware, nos recuerda lo fácil de estos ataques
y la magnificación posible por el abuso de dispositivos del Internet de las
cosas. Pero a veces los ataques son prevenibles.
En el caso
particular de Github, los atacantes aprovecharon una mala configuración que es común
en administración de sistemas de información. El software en cuestión, que
permite un mejor aprovechamiento de memoria, usa un puerto UDP que estaba
expuesto externamente. En otras palabras, el software no tenía todos sus
puertos lógicos protegidos por un firewall.
Muchos
sistemas de información presentan debilidades porque su configuración simplemente
no se ha terminado. A veces esto se debe a el afán, ignorancia o simple desdén
burocrático. Sea cual sea la razón, el resultado es la presencia de
vulnerabilidades que pueden ser fácilmente prevenidas.
En inglés
se utiliza la palabra “hardening” para indicar que una vez un sistema es
instalado se debe seguir un proceso de configuración para proteger el mismo
sistema.
Algunas
buenas prácticas incluyen deshabilitar o proteger puertos TCP o UDP, cambiar
las claves del usuario administrador, verificar que el usuario común no tenga
capacidades de administración, etc.
¿Cómo
asegurar que un departamento de informática siga estas prácticas? La respuesta,
como todo en este ramo, depende de la madurez del departamento y el
entendimiento del riesgo al que la organización está expuesta. Documentar y
poner en práctica procesos es difícil, y aunque no es tan llamativo como comprar
y aprender nueva tecnología es vital para la protección de información.
Otras prácticas
que ayudan incluyen la regularidad en el uso de escáneres de vulnerabilidades y
servicios de pentest. Finalmente, es el apoyo de la alta administración de una
empresa la que permite que estas buenas prácticas se den. De poco sirve tener
un informe pentest si sus recomendaciones no se siguen.
Así como esperamos
que un banco proteja nuestro dinero, las empresas que manejan nuestra información
también tienen un deber con sus usuarios y clientes. Ya me he referido en
varias oportunidades a la responsabilidad
compartida de las empresas que son víctimas de ataques informáticos.
El ataque a
Github nos recuerda una vez más que los adversarios y otros delincuentes del
ciberespacio siempre aprovecharán cualquier descuido de su personal técnico.