lunes, 20 de agosto de 2012

Los chicos malos no descansan... modo vacaciones-off.

Era una tarde de domingo en la fria calurosamente mortal, ciudad donde vivo... Mi novia preparando la cena. El móvil de repente se vuelve loco, y mas que avisos de correo, parece el sensor de parking del coche: piiiiiiiiiiiiiiii-piiiiiiiiiiii-piiiiii-pi- pi pi pi pi pi pi pi pi...Empieza así, y cada 5 minutos se repite. Cuando me pongo a ver quien o qué es el que me esta flood-deando el correo veo que es el IDS...Recuerdo que me fui el viernes de "vacaciones" hasta el lunes...  Al parecer, tenía un usuario visitando alguna web, la cual estaba intentado ejecutar un exploit para aprovecharse de una vulnerabilidad conocida , en formato de imágenes.



Como siempre llevo a mano mi bbdd de host en el teléfono, identifico rápidamente el equipo, y todo me cuadraba. Habían empezado los ataques justo a la hora que en ese puesto se realiza un cambio de turno... y como es domingo por la noche, pues la persona había decidido empezar su sesión de trabajo visitando unas cuantas web´s de prensa. La solución, como casi siempre, fué la de "atajar" con la persona. No era plan, un domingo por la noche de conectarme desde un teléfono, y ponerte a trabajar. También me quedé un poco tranquilo porque el IDP estaba funcionando.
No voy a decir el nombre del periódico, al menos hasta que después de la notificación que les acabo de hacer, me digan algo, pero es un periodico FUERTE español, alojado en los servidores suizos de Akamai. Tiene algo que ver con los juegos olímpicos xD.

El motivo de este post es, en primer lugar, de CONCIENCIAR a la gente que Internet es peligroso, y que sin hacer "nada" raro, como este usuario estaba haciendo ( leer prensa de un sitio mas o menos legítimo), podemos sufrir numerosos ataques, y la única manera de protegernos en estos casos, es tener el software correctamente actualizado.

Otro motivo es el de quejarme públicamente de la situación que tenemos muchas personas, que aún siendo vacaciones, fin de semana, altas horas de la noche, etc, siempre estamos alerta, y eso CUESTA DINERO !!!.

Proxy: En la empresa donde desempeño mi labor decidimos montar un proxy, pero la cuestión es: allow all y luego censuramos, o al revés, deny all y habilitamos?
En cuanto a términos de seguridad se refiere, está claro que es mejor cerrarlo todo, e ir abriendo las web´s que nuestros compañeros necesitan, pero como siempre digo "la seguridad muchas veces va en decrimento de la usabilidad" y hay entornos en los que no se puede hacer esto, por qué? porque si trabajas en una empresa pequeña, donde hay que acceder a 5 web´s, pues es fácil. Además, si alguien necesita puntualmente acceder a una web en concreto, se le habilita el acceso y listo. En una gran empresa, suele haber varias personas encargadas de los sistemas, y se puede optar por deny all, si hay un departamento IT detrás para atender las necesidades de algún empleado. Pudiendo analizar el contenido de la web, y tomando las decisiones oportunas.
Qué pasa con una mediana empresa, como es la mía? El departamento IT es mínimo, no se puede dar soporte 24/7 a este tipo de necesidades. Es una empresa en la que el tráfico web va desde un administrativo que accede a un portal B2B, a la que un médico consulta una técnica quirúrgica, un enfermero consulta la posología exacta de un medicamento, etc etc... No se puede deshabilitar todo. Puedes capar archivos exe, puedes usar el idp, pero el proxy, difícil. Lo único que puedo hacer es con mi proxy, y mi SARG ( OJO si usamos este sistemas, ya que se han visto muchos de estos servidores publicados en Internet, y encima sin autenticación. No he encontrado el post que habla sobre esto, pero lo recuerdo) revisar todos los días por donde purula la gente, y actuar en consecuencia. Se que no es muy elegante, y mi lista de DENY´s pesa ya unos cuantos megas, pero si quiero dar servicio y proporcionar algo de seguridad, es lo que toca. Insisto, todo esto está montado en una infraestructura en la que hay un buen firewall y un idp/ids mas o menos bien configurado.