En lo que va del año hemos sido testigos de numerosos ataques a grandes corporaciones, generando, en algunos casos, perdidas millonarias tanto en fuga de información como en daños a la imagen corporativa. Pareciera estar convirtiéndose en una tendencia por parte de ciertos grupos el dirigir sus ataques a este tipo de entidades, donde incluso algunas de ellas pertenecen a la industria de la seguridad informática.
Pero la pregunta es...¿cómo logran esto? ¿Será que disponen de un intelecto superior, permitiendoles ver algo que otros no pueden? ¿Utilizarán hardware/software personalizado de última generación? La respuesta, por más que les sorprenda, en la mayoría de los casos es NO.
No quiero caer en el cliché de decir que el error es humano y cerrar así este post, sino que busco generar la suficiente conciencia en los administradores de estos sistemas e indicarles una manera muy sencilla de prevenir la gran mayoría de estos ataques. La realidad es que por lo general, la mayoría de estas intrusiones son posibles debido a que los servicios públicos de una entidad no son actualizados con la suficiente periodicidad.
¿A qué me refiero con servicios?
Con esto quiero decir todos aquellos servidores que se encuentren de una u otra forma publicados en Internet y que posean puertos abiertos por los cuales los usuarios reciben ciertas prestaciones (HTTP, SSH, FTP, SMTP, etc).
Ya se trate de un servidor web o un servidor de correos, los servicios brindados no son más que paquetes instalados en el mismo los cuales fueron creados en una determinada fecha. Cómo todo programa, es actualizado por el desarrollador no solo para ofrecer nuevas funcionalidades sino también para solventar alguna/s falla no contemplada recientemente descubierta. Pero esta actualización no se realiza de forma automática, debe ser realizada a mano y programada para no perjudicar la disponibilidad del servicio.
¿Cómo se actualiza un servicio?
El comando a utilizar varia dependiendo del sistema operativo que se utilice. En este caso yo voy a hacer referencia a los comandos utilizados en distribuciones de Linux como Debian, Red Hat Enterprise, Fedora, CentOS y SuSe.
Ingresando a una terminal o shell del equipo se deberá lanzar algunos de los siguientes comandos según corresponda:
- Debian - Primero actualiza el repositorio y luego actualiza servicios específicos, en este caso Apache y OpenSSH: # apt-get update ; apt-get install ssh apache2
- Debian - Primero actualiza el repositorio y luego actualiza todo el software del cual se disponga una actualización: #apt-get update ; apt-get upgrade
- Fedora , CentOS- Actualiza el repositorio y luego actualiza servicios específicos, en este caso Apache y OpenSSH: # yum update ssh apache2
- SuSe - Primero actualiza el repositorio y luego actualiza todo el software del cual se disponga una actualización: # online_update
- Red Hat Enterprise - Primero actualiza el repositorio y luego actualiza servicios específicos, en este caso Apache y OpenSSH:# up2date -i ssh apache2
Obviamente existen muchos comandos más para realizar estas tareas, pero tratar de contamplarlos todos sería algo dificultoso.
Se recomienda que haya un plan de contingencia antes de realizar esta tarea y que no se realice directamente sobre un servidor en producción para evitar conflictos e interrupciones en el servicio.
Es cierto que no existe un sistema 100% seguro, pero eso no significa que se deban bajar los brazos y darse por vencidos de inmediato, sino que se debe buscar entre el sinfín de recursos que existen para informarse en materia de seguridad informática. De esta forma se podrá generar conciencia propia y de terceros para luego aplicar soluciones efectivas y políticas eficientes.
Joaquín Rodríguez Varela
Malware Lab Engineer
