|
Sistema comprometido: "derribar y reconstruir"
|
|
VSantivirus No. 1411 Año 8, lunes 17 de mayo de 2004
Sistema comprometido: "derribar y reconstruir"
http://www.vsantivirus.com/derribar-reconstruir.htm
Por Jose Luis Lopez
videosoft@videosoft.net.uy
"La única manera de limpiar un sistema comprometido es derribarlo y reconstruirlo. Eso es lo correcto. Si usted tiene un sistema que ha sido comprometido completamente, la única cosa que usted puede hacer es derribarlo (formatear el disco), y reconstruirlo (reinstalar Windows y sus aplicaciones)."
En esta frase se resume el artículo firmado por Jesper M. Johansson, Director del Programa de Seguridad de Microsoft, en su columna de mayo de 2004 en "Security Management" (ver
"Más información").
Por otra parte, en el "Handler's Diary May 16th 2004" (ver "Más información"), Patrick Nolan del SANS Institute (SANS son las siglas de SysAdmin, Audit, Network y Security), insiste en que la experiencia ha demostrado largamente que reconstruir de cero (formatear y reinstalar), un sistema que ha sido comprometido por cualquier clase de intrusión, es la mejor práctica. A pesar de ello, todavía existen algunas personas responsables de la seguridad que prefieren ignorarlo.
Tal vez no sorprenda cuando las quejas de tener que formatear y reinstalar vengan de usuarios domésticos, ya que es muy común que éstos se dejen llevar por toda clase de consejos, muchas veces bien intencionados, pero otros no tanto. Su falta de experiencia, y la enorme cantidad de información que pueden recibir de la red, puede fácilmente confundir su sentido común con la comodidad. Incluso el rechazo puede deberse a su falta de conocimientos para emprender por si mismos una reinstalación completa del sistema.
Sin embargo, no hay excusas cuando estas quejas vienen de responsables de sistemas informáticos, tal vez porque admitirlo, también sería una vergonzosa manera de reconocer que la intrusión ocurrió por su propia falta de previsión a la hora de instalar parches y/o actualizar los programas a su cargo.
Pero veamos los puntos fundamentales del artículo de Johansson:
- Usted no limpia un sistema comprometido instalando los parches (si no lo hizo antes del ataque). Instalar los parches solo quita la vulnerabilidad. Una vez que un atacante estuvo en su sistema, probablemente se aseguró de probar o crear otras maneras de volver a entrar en él.
- Usted no limpia un sistema comprometido eliminando algunas puertas traseras. Nunca podrá estar seguro de quitar todas las puertas traseras que el atacante pudo dejar.
- Usted nunca limpiará correctamente un sistema comprometido utilizando algunos "removedores de la vulnerabilidad". Varios vendedores, incluido Microsoft, publicaron herramientas para remover el Blaster (y el Sasser). ¿Puede confiar en un sistema que tuvo el Blaster, después de ejecutar esa herramienta? Si el sistema era vulnerable al Blaster, era también vulnerable a muchos otros ataques. ¿Puede garantizar que ninguno de ésos ataques se ha producido?
- Si usted puede garantizar que lo único que comprometió al sistema fue determinado virus o gusano y usted sabe que este virus no tiene puertas traseras, y además la vulnerabilidad utilizada por el virus no estaba disponible en forma remota, entonces el escaneo con un antivirus puede ser empleado para limpiar el sistema. Por ejemplo, esto puede ocurrir cuando el gusano se ejecuta por la acción directa o indirecta del usuario (abrir un mensaje y/o un adjunto, hacer doble clic sobre un archivo). Sin embargo, si la vulnerabilidad utilizada por el gusano estaba disponible en forma remota sin acción alguna de parte del usuario (cómo ocurre con el Blaster y el Sasser), entonces usted no puede tener ninguna garantía de que ese gusano fue la única cosa que utilizó dicha vulnerabilidad.
- Usted no puede limpiar un sistema comprometido reinstalándolo sobre el actual. El atacante puede haber dejado archivos que engañen al instalador. Si ello sucede la simple reinstalación no quitará los elementos comprometidos. Además, el atacante pudo dejar puertas traseras en componentes que no son del sistema operativo.
- Usted no puede confiar en ninguno de los datos copiados desde un sistema comprometido. Una vez que un atacante entra al sistema, todos los datos corren el riesgo de ser modificados. En el mejor de los casos, copiando estos datos en un sistema limpio, obtendrá información potencialmente no confiable. En el peor de los casos, puede estar copiando una puerta trasera escondida en los datos.
- Usted no puede confiar en los registros de un sistema comprometido. Al obtener el acceso completo a un sistema, es sencillo para un atacante modificar los registros para cubrir cualquier rastro. Si depende de los logs de eventos para saber que le han hecho a su sistema, usted puede estar leyendo lo que el atacante quiere que usted lea.
- Usted no puede confiar en su último respaldo. ¿Cómo puede estar seguro del momento en que empezó el ataque original? Los registros no son confiables como para decirlo. Sin esa información, su último respaldo es inútil. Puede ser un respaldo que incluye todas las puertas traseras instaladas por el atacante.
- La única manera de limpiar un sistema comprometido por un ataque, deberá ser formatear y reinstalar. Si usted tiene un sistema que ha sido comprometido completamente, la única cosa que usted puede hacer es derribarlo (formatear el disco), y reconstruirlo (reinstalar Windows y sus aplicaciones).
Los últimos casos concretos sobre este tema, han sido protagonizados por el ya comentado gusano Blaster (Lovsan), y más recientemente por el Sasser y la secuela de gusanos que se valen de las mismas vulnerabilidades que utilizan estos dos. Infecciones de este tipo obligan a un formateo y reinstalación de Windows.
De todo esto, debería quedarnos como lección, que tal situación podría haberse evitado si se hubieran instalado de inmediato los parches necesarios, publicados en ambos casos, varias semanas antes de cualquier ataque conocido.
Por último, también recomendamos un interesante artículo publicado por José Manuel Tella Llop, reconocido profesional, betatester y asiduo participante de los foros de Microsoft,
que expone de manera clara muchos de los aspectos aquí tratados, junto a otros no menos trascendentes, y enfocados al usuario doméstico (ver
"Más información").
Más información:
Security Management - May 2004
Help: I Got Hacked. Now What Do I Do? (Jesper M. Johansson)
http://www.microsoft.com/technet/community/columns/secmgmt/sm0504.mspx
El gusano Sasser, las lecciones no aprendidas
http://www.vsantivirus.com/02-05-04.htm
Preguntas frecuentes sobre el Sasser
http://www.vsantivirus.com/faq-sasser.htm
Preguntas frecuentes sobre el Lovsan (Blaster)
http://www.vsantivirus.com/faq-lovsan.htm
Sobre las nuevas maneras de extraer información
de nuestras máquinas (José Manuel Tella Llop)
http://www.multingles.net/docs/sasser.htm
SANS ISC (once again) and Microsoft - Flatten Compromised Systems
www.incidents.org/diary.php?isc=82773c7c9b37e2183236802b55e4a948
Mailbag: Cleanup Woes (Johannes Ullrich)
www.incidents.org/diary.php?date=2004-05-05&isc=
82773c7c9b37e2183236802b55e4a948
(c) Video Soft - http://www.videosoft.net.uy
(c) VSAntivirus - http://www.vsantivirus.com
|
|
|