El post de ayer estaba escrito por la mañana, aunque no lo publiqué hasta última hora de la tarde. La razón: ayer tuvimos ataques masivos de virus.
Tenemos teóricamente todas las medidas de seguridad recomendables. Un antivirus de prestigio (y de pago), que se actualiza, como mínimo, semanalmente (muchas veces, cada día o dos días). El antivirus está instalado en los equipos y en los servidores, además de tener hardware del mismo proveedor monitorizando la red (interna y externa). Además, un firewall físico. Los usuarios no son administradores de sus equipos y no hay acceso libre a Internet.
Aún con estas medidas (y algunas más, no era cuestión de seguir con el detalle), ayer tuvimos un serio problema. Empezamos con un par de equipos de almacén que comparten etiquetadoras (impresoras de códigos de barras). Los recursos compartidos "desaparecían". A partir de ahí, el tema fue degenerando desde la anécdota al caos. Fallaron servidores del circuito de cámaras, el servidor de dominio, la gestión de impresoras e incluso el correo electrónico.
Además de los perjuicios para la operativa en una empresa que trabaja 24x7, como todas las de logística, lo peor es la sensación de impotencia mientras luchas contra esto.
Ni siquiera la actualización del antivirus de media mañana era efectiva. Hasta media tarde no dispusimos de una versión (en inglés, claro) que bloqueaba el virus (aunque curiosamente, no lo detectaba al escanear). Nos ayudó bastante la versión on-line de Panda, que si lo detectaba, pero no tenía "vacuna".
En fin, una tarde entretenida, en que algún chaval ruso de 16 años se lo pasó de miedo mientras aquí nos volviamos locos intentando que la empresa pudiera funcionar.
UPDATE: Hasta ahí era lo escrito esta mañana. Durante el día de hoy se ha repetido la situación, ya que ayer por la noche no terminamos de instalar la nuevea versión del antivirus en todos los equipos y servidores.
Finalmente, hemos tenido que obviar nuestro proveedor de antivirus en España para utilziar directamente la versión USA, que si tenía una actualización que detectaba nuestro virus (desde ayer a las 20:00). A esta hora aún no existe la versión en castellano.
Mañana toca presentar el informe a la dirección general. A ver como explicamos lo que es un troyano y que si, que hay gente que se dedica a generar esto, y que no necesariamente trabajan para el proveedor de antivirus.
Hemos aprendido lecciones, y mejoraremos, pero me queda la sensación de que, por muchas medidas que tomes, siempre estas expuesto a que alguién desde dentro, voluntariamente o no, o desde fuera, puede poner la operativa de la compañía al borde del colapso.
13 sep 2005 | 07:46 PM
¿Podría servir esto para sugerir a la empresa la migración de lo mas crítico a sistemas menos vulnerables basados en Unix?
Un Unix como servidor de correo y otro para las etiquetadoras no sería mala idea.
Un saludo.
13 sep 2005 | 09:33 PM
Ya estamos con que si la abuela fuma y sale con hombres mayores...
Un ordenador no es más o menos seguro por el sistema operativo que ejecuta, la seguridad va mucho más allá de "mi servidor tiene Linux y no puede contagiarse de virus", porque sobre todo esto no es cierto.
Un entorno seguro, viene dado por la correcta elección de los elementos que lo componen, una instalación adecuada y procedimientos de gestión y actualización que combinen prevención y reacción, de manera que el impacto, de darse, se minimice al límite.
No me refiero a normativas ISO o BS, ni siquiera de políticas integrales de gestión, aunque al final sean estas aquellas que han recogido las mejores prácticas y les han dado una estructura y comprensibilidad suficiente.
Ese mismo problema que ayer apareció en la empresa de Rafael, en otro sitio se encontró con un antivirus perimetral montado sobre una máquina bastión, alojada en una DMZ muy muy restringida, pasó a otro antivirus que integra 5 motores distintos, en otra DMZ, que dio paso a otro servidor AV con los mismos 5 motores, pero con una política de escaneo y tratamiento de ficheros/mensajes diferente.
A esto se le suma que en las tres barreras, los productos AV eliminan sistemáticamente cualquier archivo ejecutable, excepto Word, PPT y Excel (constituyendo este el mayor agujero, pero no siendo posible evitarlo por razones obviamente funcionales).
Finalmente un tercer producto y motor se ejecuta cada vez que cualquier fichero se abre en cualquier ordenador de la red.
La actualización de los 7 motores se realiza de forma continuada, superando largamente la treintena diaria.
Una cascada de tres capas de cortafuegos, de distinto fabricante y tecnología, dos de ellas con capacidades avanzadas para parar vulnerabilidades de los sistemas operativos, analizan a su vez todo el tráfico de entrada y salida.
Windows Server 2003, Un*xes y appliances constituyen las bases para montar todo esto, siendo Windows el SO predominante. Por supuesto la actualización y parcheo de todos estos equipos está rabiosamente al día.
¿Mucha chicha? ¿Poca? Por supuesto, depende del análisis de riesgos y no hay ni más ni menos que lo recomendable, lo cierto es que desde hace más de 4 años el nivel de incidentes ha sido exactamente igual a cero para unos 750 equipos, entre sobremesas, portátiles y servidores.
13 sep 2005 | 10:06 PM
José Mª, enhorabuena por las 750 máquinas ilesas tantos años. No voy a discutir aquí teoría sobre si Linux/Win. Solo sé que llevo admistrando máquinas Unix 5 años en una gran multinacional, al lado de mis compañeros administradores de Win y te puedo asegurar que las caídas de servicio debidas A VIRUS y a otros problemas de seguridad son infinitamente mayores en el entorno WIN. Éste es el día a día y siempre podemos culpar al usuario, al parche, a la ignorancia de los que administramos... pero la realidad es la que es y no la que podría ser.
13 sep 2005 | 10:30 PM
Hace tiempo comente algo parecido en cuanto a la seguridad de redes en mi
blog. La verdad es que yo creo que no existe la seguridad 100%.
14 sep 2005 | 12:59 PM
Los zero-days te los comes con patatas como entren a tu red. Lo unico es utilizar un IPS que detecte conductas sospechosas y bloquee segmentos de red, pero los IPS tambien tienen sus riesgos.
Lo que deberias preguntaros es: ¿por donde leches ha entrado el ejecutable a la red?
Menudo marron, suerte y a ver si no os vuelve a pasar en muchos años.