En el momento de escribir estas
pocas líneas, aún es incierto el alcance del reciente ataque de ransomware
Wannacry, y aunque ya hay muchas empresas afectadas alrededor del globo, aún no es claro el objetivo final de este ataque “si hubo objetivo” adicional al económico o la estimación en pérdidas
económicas de las compañías o personas que vieron perdida su “valiosa”
información, sin embargo a priori podemos comentar algunas circunstancias que
condujeron a que esta serie de eventos desafortunados tuviera el final que
estamos apreciando…
Ya varios medios culpando a la
NSA quien diseñó herramientas que utilizaron exploit sobre 0 day que luego en su
momento Microsoft parcho (MS17-010) “Ya hay demasiados conocidos en solo dos líneas…!), pueden ver el algo del detalle tecnico en:
La creación de estas herramientas
de por sí, es ya una grave amenaza, pero perderlas fue simplemente la cereza que
le faltaba al pastel, lo demás es consecuencia lógica de esta receta...
La falta de políticas claras de
actualizaciones de equipos en redes corporativas es otro de los ingredientes, y
aunque alguien haya tenido la sensatez de escribir las políticas, si éstas son
un saludo a la bandera y en las compañías los administradores tienen demasiado
trabajo y por culpa de esto están dejando de hacer su verdadero trabajo, aquí están
las consecuencias…. las herramientas existen hace años, la mayoría de las
organizaciones tienen al menos un servidor WSUS, pero ¿ De verdad lo están usando
como deberían ?, ¿ se toman el tiempo y ejecutan el debido proceso de actualizar su
parque informático con la responsabilidad que la tarea implica ?, o ¿ tienen el
WSUS o cualquier otra herramienta, solo para sacar los informes que copian a
auditoría y que en realidad nadie detalla…?
Ahora como es costumbre aparecerán
los consultores y las firmas de soluciones de seguridad a hacer su agosto, en
una cacería de brujas que se repite de tanto en tanto, a buscar culpables,
chivos expiatorios a los que hay que despellejar vivos y usar sus huesos para
sobre ellos acabar de decorar las ofertas de productos milagrosos que nos
podrían haber salvado de este debacle, junto con sus consultorías de miles de dólares
que ofrecen mediante el uso de metodologías copiadas de la NASA y dos o tres
project managers, para concluir lo que todos sabemos al interior de IT, pero que también
servira dentro de las medidas de contención en muchas de las organizaciones, al
estilo de… contratamos una consultoría para que diagnostiquen el estado de nuestros
procesos de seguridad (si los hay)... o invertimos en seguridad comprando la
solución X o Y..., cuando el problema de fondo puede ser nuestra inexistente o
precaria cultura de seguridad.
Las políticas y procedimientos
seguro ya los tenemos, políticas de respaldo, procedimientos de actualizaciones
de software (y firmware..?), políticas de antimalware, políticas de acceso y
uso de Internet, procedimientos de control de cambios, uno o dos WSUS,
software antivirus, Antispam, listas de bloqueo, etc,etc,etc Es hora no solo de tener los procedimientos y políticas sino de hacer que se cumplan.
No necesitamos más productos
milagrosos (o si..?), ni necesitamos costosas consultorías que nos digan lo que
todos sabemos, necesitamos trabajar, usar y mejorar lo que ya tenemos, en la mayoría
de los casos, no es un problema de herramientas, ni de diagnósticos milagrosos,
para la mayoría de las organizaciones que sean afectadas, sería una buena oportunidad
para dejar de buscar chivos expiatorios y exorcizar nuestros propios demonios y poner en orden la casa; para poder
justificar, si algo pasa siempre se podrán esgrimir los clásicos argumentos... que
no tenemos X o Y solución, que hay que invertir más en Seguridad (que siempre
es cierto), que nos falta gente, etc,etc.
Actualizare estas líneas en la
medida que tengamos noticias del real alcance de este ataque y sus
consecuencias, pero lo que sí es cierto es que la seguridad tiene hoy más
visibilidad que nunca, lastimosamente debido a estas malas noticias y a las que vendrán más adelante y cada vez más seguidas, pero es
tiempo de aprovechar estos momentos coyunturales para establecer la seguridad
con la importancia que se merece
Update (16/05) Según reportes de algunos medios son más de 130.000 afectados en más de 100 países, no hay claridad de quien o quienes realizaron el ataque pero es claro que fue un esfuerzo coordinado de un equipo de personas, siguen infectandose equipos, aunque la solución pasa por instalar las actualizaciones en los sistemas vulnerables.... Como consecuencia natural ya hay al menos una versión diferente del mismo ataque circulando por la red, de la cual ya empezaron a reportar miles de víctimas...! así que el panorama no mejora, al parecer en algunas compañías optaron por "esperar" a ver que pasa y la seguridad no es una prioridad, estamos viviendo en una sociedad digital que utiliza cada vez más un sin número de servicios que lastimosamente están soportados sobre esquemas de seguridad caducos o inservibles.
A futuro vendrán otros ataques, cada vez van a ser más sofisticados, se pueden alimentar de la información que perdió la NSA o solo usar esta información para inspirarse y hallar maneras más eficientes de vulnerar la seguridad, en cualquier caso ya está probado que si este tema que en una sociedad hiperconectada la explotación de una vulnerabilidad es maravillosamente sencilla y contundente
Update (16/05) Según reportes de algunos medios son más de 130.000 afectados en más de 100 países, no hay claridad de quien o quienes realizaron el ataque pero es claro que fue un esfuerzo coordinado de un equipo de personas, siguen infectandose equipos, aunque la solución pasa por instalar las actualizaciones en los sistemas vulnerables.... Como consecuencia natural ya hay al menos una versión diferente del mismo ataque circulando por la red, de la cual ya empezaron a reportar miles de víctimas...! así que el panorama no mejora, al parecer en algunas compañías optaron por "esperar" a ver que pasa y la seguridad no es una prioridad, estamos viviendo en una sociedad digital que utiliza cada vez más un sin número de servicios que lastimosamente están soportados sobre esquemas de seguridad caducos o inservibles.
A futuro vendrán otros ataques, cada vez van a ser más sofisticados, se pueden alimentar de la información que perdió la NSA o solo usar esta información para inspirarse y hallar maneras más eficientes de vulnerar la seguridad, en cualquier caso ya está probado que si este tema que en una sociedad hiperconectada la explotación de una vulnerabilidad es maravillosamente sencilla y contundente
No hay comentarios:
Publicar un comentario