viernes, 25 de agosto de 2017

WannaCry: La amarga letanía de los servidores samba

Actualmente, el término “viernes negro” se asocia a nuestras ansias consumistas. Un día diseñado para el consumidor, en el que puede liberar esa fuerza inhumana que impulsa a ciertas personas a volatilizar cualquier atisbo de ahorro. Pero esto no es así. Originalmente, un viernes negro era un día fatídico, señalado así por la ocurrencia de un acto luctuoso, o incluso un desastre financiero (no, el crack del 29 cayó en jueves), que vendría a ser recordado así en años venideros.

El viernes 12 de mayo fue un verdadero “viernes negro” para muchísimos administradores de sistemas y personal de seguridad. Esa mañana, con un mecanismo clásico y nada original, inaugurado por el gusano de Morris hace 30 años, comenzó a replicarse WannaCry. Fue tal el latigazo mediático que hasta las cabeceras de los noticieros se llenaron de palabros incomprensibles para el espectador medio. El resto es historia, reciente y conocida por todos, sufridas en sus carnes por algunos compañeros de oficio.

Nunca se supo con absoluta certeza si el arponazo original fue una campaña de phishing dirigida (spear phishing) o servicios samba expuestos públicamente. La primera opción, desde luego, fue perdiendo fuelle conforme pasaba el tiempo y no arrojaba resultados conclusivos. El supuesto correo original no aparecía por ninguna parte, sin embargo, a la luz del hecho de que un gran número de corporaciones y grandes empresas comenzarán a activar sus protocolos de contención, alguna que otra voz se alzó teorizando acerca de un posible uso de un zeroday. El muy efectivo ETERNALBLUE. Resultó curioso, porque el vector característico del ransomware es el correo, a la caza del usuario desprevenido, y nadie se esperaba un RCE con replicación a la Conficker.


Un fallo, dos fallos, tres fallos

No dudamos en que se tomaron las medidas adecuadas, se actualizaron protocolos y se endurecieron políticas de seguridad (recordemos las lecciones aprendidas por Google tras la operación Aurora). Pero sí o sí el fallo, bastante grave, estaba allí. No nos estamos refiriendo a la exposición de un servicio sin parchear, que ya de por sí otorgaría la suficiente fuerza para arquear las cejas, nos referimos a la muy cuestionable idea de exponer un servicio que no es (o no debería serlo) a priori vital para la organización.

Si pensamos en cómo están estructuradas algunas redes internas, en cómo algunos clientes conectan "a las bravas" con carpetas compartidas en una topografía plana y seguimos tiramos del hilo hasta alcanzar un servidor samba escuchando hacia Internet, probablemente la segunda opción de la que hablábamos no suene tan alocada. Toda una combinación de factores inocentes por sí mismos pero letales cuando entran en combinación. Un zombi da con el servidor que "teníamos por ahí perdido", infecta, nuestro servidor se vuelve contra nosotros, redes planas, equipos sin parchear y...París era una fiesta.

¿Si una infección por ransomware vía ingeniería social nos está evidenciando un nivel de concienciación deficiente, qué nos está enseñando un ataque como el de WannaCry? En primer lugar, dejar un servicio probablemente no vital escuchando hacia Internet. No, no valen las excusas de que era necesario, puesto que si lo era no estaba debidamente parcheado, filtrado o controlado. En segundo lugar, no fragmentar adecuadamente un servicio de la DMZ con la red interna donde se conectan los empleados. En tercer y último lugar, es evidente que las estaciones de trabajo tampoco estaban parcheadas. Podríamos seguir tirando del hilo: ausencia de IDS, actualización de las reglas del mismo, etc, pero creemos que con esto es suficiente.

Realmente, deberíamos sopesar si en la clásica ecuación seguridad-flexibilidad nos estamos dejando llevar por las quejas de los usuarios o los ajustadísimos presupuestos (talla 34) de los departamentos de seguridad no dejan margen para las sutilezas. El "todo deprisa y corriendo" es una fortuna caprichosa que golpea en el momento más inesperado. Mientras el truco funciona la seguridad siempre parece un desperdicio de recursos, pero cuando los planetas se alinean y los sambas susurran entre ellos...nos encontramos a milímetros de la tragedia y entonces, durante un breve espacio de tiempo, la seguridad nos parece atractiva, elegante, necesaria, confortable y ¡chas!, por arte de magia, ya no hay fondo en el bolsillo. Eso sí, el hechizo dura poco, muy poco.

Por cierto, en España estamos así de sambas:




Y muchos de ellos, cuando susurran, nos cuentan al oído esto:



David García


Más información

Gusano Morris

Un ransomware ataca a múltiples compañías

WannaCry y las lecciones que nunca aprendemos