22 may 2017

WannaCry, las lecciones que seguimos sin aprender

Por Ariel Torres

No es el primer desastre informático de la historia. Ni será el último. Pero no escarmentamos.Pueden tomar al azar cualquier día del año y siempre darán con alguna brecha de seguridad más o menos importante. Algunos ataques son tan destructivos que llegan a la tapa de los diarios. Recuerdo la mayoría de memoria. El gusano Morris, en 1988; el virus Melissa, en 1999; el Love Letter, en 2000; el Code Red en 2001, y la lista sigue: Nimda, Slammer, Sasser, Mydoom, Conficker.

Salvo el Morris, que ocurrió antes de que Internet se volviera pública, me tocó cubrir todos estos ataques. Mi absoluto pesimismo respecto de la seguridad informática no es paranoia. Se basa en hechos. La obra social estadounidense Anthem perdió 80 millones de registros; al Servicio Nacional de Salud británico (NHS, por sus siglas en inglés) le robaron 26 millones de historias clínicas (en las dos semanas anteriores al WannaCry); Netflix perdió en abril 19 capítulos de Orange is the new black, y a Disney, estos días, un largometraje completo que estaba por estrenar; de Ashley Madison se llevaron los datos de 33 millones de cuentas de usuarios; a Ebay le sacaron los datos de 145 millones de miembros; al JP Morgan le extrajeron información financiera de 76 millones de individuos y 7 millones de pyme; a Home Depot se le escaparon los números de 56 millones de tarjetas de crédito de sus clientes, y a Friend Finder le sacaron 412 millones de correos electrónicos y sus correspondientes contraseñas. En 2014 Yahoo! perdió a manos de los piratas 500 millones de cuentas de sus usuarios (la brecha se conoció en 2916). ¿Me olvido de alguien? El Facebook ruso, llamado VK, fue hackeado. MySpace, también. La Comisión Electoral de Filipinas, lo mismo. Hasta las elecciones presidenciales estadounidenses fueron comprometidas. Aclaro que esta lista es una fracción insignificante de las principales brechas de seguridad. El sitio Have I been pwned? tiene una base de datos de más de 3700 millones de cuentas comprometidas.

El viernes 12 de mayo, que ahora figura en un lugar destacado en estos anales aterradores, chocamos de nuevo contra un iceberg. Esta vez, fue el WannaCry, contracción de WannaCrypt ("Quiero encriptar", en inglés) y un obscenamente sarcástico juego de palabras. WannaCry significa en ese idioma "Quiero llorar", que es exactamente lo uno siente si descubre que un virus le ha bloqueado todos los archivos importantes de la computadora.

El WannaCry explotaba una vulnerabilidad de Windows usando una de las ciberarmas robadas a la National Security Agency de Estados Unidos (NSA, por sus siglas en inglés). Por donde se lo mire, hay algo delirante en que le hayan robado un arsenal de armas cibernéticas a la agencia nacional de seguridad del país más poderoso de la Tierra. Si no están en condiciones de evitar que esas armas lleguen a manos equivocadas, deberían empezar por no crearlas. Pero es muy probable que creyeran en lo que, más o menos, todo el mundo cree: que sí podían mantenerlas a buen resguardo, que con su presupuesto astronómico eran invulnerables. No lo eran.

En realidad, no todo el mundo cree en tal invulnerabilidad. Los jefes de seguridad informática intentan, en general sin éxito, que sus organizaciones presten oídos a las reglas más elementales. No abrir adjuntos sin pensarlo dos veces, digamos. Todos mis amigos en departamentos de sistemas, sin excepción, me han contado de gerentes y directores que, confiados en que su poder alcanza a los bits, han abierto adjuntos indiscriminadamente. Hasta que al final causaron un incidente.

Otra regla básica: mantener el software actualizado. Es lo que la gente de sistemas del NHS advirtió en marzo, cuando Microsoft liberó un parche que habría evitado un ataque como el del WannaCry. No les prestaron atención. "Esos paranoicos, siempre exagerando," habrán razonado.

¿Cómo les robaron esas ciberarmas a la NSA? Ahí la cosa es más opaca, pero casi con entera seguridad un empleado las sustrajo desde adentro.

Ahora, imaginemos que un infiltrado, con el apoyo de una nación enemiga, se roba los planos para fabricar un dispositivo termonuclear. O que se roban esos planos hackeando un servidor. Para usarlo tendrán que, como mínimo, refinar uranio. No es fácil. O comprar el material fisionable en el mercado negro y contrabandearlo. Robarse la bomba atómica terminada ya es más difícil. Digo, ¿cómo declarás algo así en la aduana? Por último, se necesita un lanzador, un misil.

Con las armas digitales ocurre algo completamente diferente. En un centímetro cuadrado de un disco duro moderno caben, grosso modo, 12.500 millones de caracteres. Eso equivale al texto de 12.500 Biblias, o una pila de Biblias de 625 metros de altura; diez veces el Obelisco.

Más fácil: en un pendrive es posible transportar todo el código fuente de todas las ciberarmas de destrucción masiva de todas las naciones del mundo. Y sobrará espacio. Los 251.287 cables clasificados que dio a conocer WikiLeaks en 2010 fueron transportados en una memoria flash. Ocupan algo así como 1500 millones de caracteres (1,5 gigabytes). Un pendrive tiene hoy no menos de cinco veces esa capacidad. Y los hay con 170 veces más espacio. Se los consigue en Amazon por 23 dólares (el modelo a prueba de agua).

Esta es la idea que no termina de prender. Intentamos conducirnos en el espacio virtual según las mismas reglas del mundo real. Las cosas van a salir mal de forma casi sistemática, como si tratáramos de hacer una caminata espacial en traje de baño.

El WannaCry no usó (al menos en la etapa aguda de la infección) ninguna estrategia de ingeniería social. Se propagaba por las redes buscando el puerto TCP 445. Si estaba expuesto y ese Windows había sido emparchado, iniciaba el ataque. (Además verificaba si un cierto dominio estaba online -el famoso kill-switch- y si existía una cierta clave en el Registro de Windows. Salvaguardias de los autores.)

No es imposible que el paciente cero haya abierto un mail con un adjunto infectado o un link malicioso, y que desde su computadora se haya propagado el WannaCry. No lo sabemos, y es lo de menos. El hecho es que antes había que enviar bombarderos y tanques para causar el mismo daño que hoy puede provocar un fragmento de código que pesa menos que una bacteria y se cuela en milisegundos por las redes sin hacer ningún ruido.

El título de esta columna debería ser "Qué lecciones nos deja el WannaCry". Pero voy a decirlo clarísimo: nos deja un montón, pero no vamos a aprender ninguna. Si no lo hicimos con el Morris, el Code Red o el Melissa, si ni siquiera escarmentamos con el catastrófico Love Letter, esta vez tampoco va a ser la excepción. Puedo apostarlo. En un mes, un año o un lustro vamos a volver a tener una epidemia como la del viernes negro. Mucho peor, probablemente, a medida que nos volvemos cada vez más dependientes de los dispositivos digitales e Internet.

¿Cuáles son las lecciones que seguimos sin aprender? Muchas, en rigor. Aparte de las que menciono a continuación, se pueden encontrar varios artículos estos días sobre el particular. Este, por ejemplo, de Ericka Chickowski, y este otro, excelente, de un veterano administrador de sistemas, Dave Cartwright.

Es virtual

La primera lección, la más difícil de incorporar, es la que mencioné antes. Esto es virtual, muchachos. Dejen de pensar como si las fronteras, las aduanas, los muros, los guardias armados o la logística tuvieran algo que ver con el código. No pesa, no se ve, no hace ruido, no aparece en el radar.
Las fallas no son la excepción

Las vulnerabilidades son la regla, no la excepción. Tomo una semana cualquier del año, la del 17 de abril, y cuento las vulnerabilidades críticas informadas en ese período por el Centro de Respuesta a Emergencias Informáticas de Estados Unidos (el US-CERT). Son 24. Hagamos la mitad y extrapolemos. Son más de 600 fallas como la que le abrió las puertas al ataque del 12 de mayo. En la lista aparecen productos de todo pelaje, desde Ubuntu y el servidor Web Apache, hasta Android, software de Cisco, Apple, Microsoft y Adobe; nombren un programa y en algún momento se le encontrarán fallas críticas.
Es virtual, pero también es real

Un fragmento de código puede causar daño en el mundo real. Esto tampoco es nuevo. El Love Letter, en 2000, sobrescribió con datos al azar imágenes y documentos de Office. El daño se estimó en 15.000 millones de dólares. ¿Habrá causado alguna muerte el WannaCry? No se sabe de ninguna, pero esta vez atacaron centros de salud.

¡Actualizar, actualizar, actualizar!

Los jefes de seguridad informática repiten esto sin que nadie les preste atención. Si Telefónica, el NHS y las demás organizaciones afectadas hubieran actualizado a tiempo, el WannaCry habría tenido un impacto mínimo.

OK, sí, es cierto, emparchar las computadoras de una compañía con muchos empleados (Telefónica tiene unos 120.000) es complicado y las cosas pueden salir mal. Pero cuando se trata de vulnerabilidades críticas hay que poner manos a la obra. Especialmente si, de pronto, les roban a la NSA ciberarmas que explotan precisamente algunas de esas vulnerabilidades.

Por otro lado, si es complicado, pero hay que hacerlo porque un ataque podría dejarte fuera de combate, ¿cuál sería la solución? ¿Destinar más recursos para los sufridos muchachos de seguridad o postergarlo porque "es complicado"? Todo es complicado cuando tenés varias decenas de miles de miembros. Lo que no cuaja es el concepto de que sí, es complicado, pero primero que nada es urgente.

Backup

Hasta da un poquito de vergüenza insistir con esto. Es viejo como las tarjetas perforadas. Si no había tiempo o voluntad para emparchar, el WannaCry habría encontrado un rival formidable en un buen sistema de backup (inaccesible para el gusano). En el nivel individual eso puede hacerse con un simple y accesible disco externo. La medida no sólo es útil contra los ransomware, sino contra cualquier falla catastrófica del disco, la pérdida o robo del equipo, y así.
Software original

La mayoría de los ataques opera, en algún punto, sobre vulnerabilidades. Desde el gusano Morris, que aprovechaba fallas de varios programas de Unix -sendmail, finger y otros-, hasta el WannaCry, el patrón es ineludible, siempre van a caer más las computadoras con sistemas desactualizados.

Windows XP al principio del ataque del WannaCry parecía estar a salvo, porque Microsoft no lo listaba entre los sistemas vulnerables. La verdad es que no lo listaba porque el ciclo de vida de este sistema se terminó en abril de 2014 y, por lo tanto, ya no recibe actualizaciones. Al final, Microsoft tuvo que publicar una solución para XP. Lo hizo el lunes 15 de mayo. Les guste o no allá en Redmond, todavía hay unos 140 millones de computadoras con XP. Entre otros, el NHS.

El ejemplo de XP es interesante por otro motivo. A los fines prácticos, un sistema operativo que ya no recibe soporte del fabricante es equivalente a un sistema operativo (o cualquier otro software) sin licencia original. Esta es la razón por la que algunos técnicos que instalan Windows pirateados aconsejan "no instalar actualizaciones porque pueden dañar el sistema". En realidad, las actualizaciones sólo van a dañar los bolsillos del técnico, porque el sitio de Microsoft alertará al usuario de que su Windows no es original. Si el presupuesto realmente no alcanza para Windows, un Linux puede reemplazar sin problemas al sistema de Microsoft en la mayoría de las aplicaciones.

El factor humano

En 2011 hackearon la compañía de seguridad RSA, proveedora de seguridad informática de la banca y la industria bélica estadounidense; era, posiblemente, la organización mejor blindada del planeta. Lograron entrar y robar información extraordinariamente sensible porque un empleado de bajo rango abrió una planilla de cálculo de Excel infectada. Este frente, el humano, es el eslabón más débil de la cadena. Es allí donde las compañías y organismos de gobierno deben invertir dinero y esfuerzos para reducir las superficies de ataque. Porque ésta no admite parches.

Fuente: La Nación

Suscríbete a nuestro Boletín

2 comentarios:

Gracias por dejar un comentario en Segu-Info.

Gracias por comentar!