martes, 13 de marzo de 2018

El regreso de un viejo conocido. Medidas para defenderse de un DoS


Las noticias sobre el ataque a Github han dado la vuelta alrededor del mundo y ya es sabido que es el mayor ataque realizado hasta ahora. Vale la pena recordar que estos ataques siguen aumentando en capacidad e intensidad.

Pero esto no es nuevo, ya el año 2016 presenció severos ataques contra proveedores de servicio DNS y el conocido periodista del blog KrebsonSecurity. El común denominador de estos ataques fue una capacidad inusitada en el ancho de banda utilizado. Ya no son raros los ataques de 400 Gbs o más.

En la entrega anterior expliqué brevemente como se desarrolla un ataque DoS. La fórmula conocida, pero a veces opacada por su primo ransomware, nos recuerda lo fácil de estos ataques y la magnificación posible por el abuso de dispositivos del Internet de las cosas. Pero a veces los ataques son prevenibles.

En el caso particular de Github, los atacantes aprovecharon una mala configuración que es común en administración de sistemas de información. El software en cuestión, que permite un mejor aprovechamiento de memoria, usa un puerto UDP que estaba expuesto externamente. En otras palabras, el software no tenía todos sus puertos lógicos protegidos por un firewall.

Muchos sistemas de información presentan debilidades porque su configuración simplemente no se ha terminado. A veces esto se debe a el afán, ignorancia o simple desdén burocrático. Sea cual sea la razón, el resultado es la presencia de vulnerabilidades que pueden ser fácilmente prevenidas.

En inglés se utiliza la palabra “hardening” para indicar que una vez un sistema es instalado se debe seguir un proceso de configuración para proteger el mismo sistema.

Algunas buenas prácticas incluyen deshabilitar o proteger puertos TCP o UDP, cambiar las claves del usuario administrador, verificar que el usuario común no tenga capacidades de administración, etc.

¿Cómo asegurar que un departamento de informática siga estas prácticas? La respuesta, como todo en este ramo, depende de la madurez del departamento y el entendimiento del riesgo al que la organización está expuesta. Documentar y poner en práctica procesos es difícil, y aunque no es tan llamativo como comprar y aprender nueva tecnología es vital para la protección de información.

Otras prácticas que ayudan incluyen la regularidad en el uso de escáneres de vulnerabilidades y servicios de pentest. Finalmente, es el apoyo de la alta administración de una empresa la que permite que estas buenas prácticas se den. De poco sirve tener un informe pentest si sus recomendaciones no se siguen.

Así como esperamos que un banco proteja nuestro dinero, las empresas que manejan nuestra información también tienen un deber con sus usuarios y clientes. Ya me he referido en varias oportunidades a la responsabilidad compartida de las empresas que son víctimas de ataques informáticos.

El ataque a Github nos recuerda una vez más que los adversarios y otros delincuentes del ciberespacio siempre aprovecharán cualquier descuido de su personal técnico.