Este artículo esta parcialmente basado en mi traducción libre de una pagina de detección de intrusiones del AusCERT (Australian Computer Emergency Response Team), y que en el idioma de los hijos de la gran bretaña, puede ser consultado en:

http://www.cert.org/tech_tips/intruder_detection_checklist.html


RECUPERARSE DE UN ATAQUE

Antes de comenzar a hacer nada, hemos de atenernos a lo que diga la política de seguridad de nuestra empresa. Si no la tenemos, hay que consultar con la dirección y obtener las órdenes directamente de ella. Esto, que parece de perogrullo, tiene sentido en la medida en que la Dirección nos va a facilitar la coordinación con el resto de departamentos de la empresa, entre otras muchas cosas, amén que la intrusión ha podido incluso llamar la atención de los medios de comunicación, lo que puede dejar a la empresa en al menos una incómoda posición.

Luego, llamamos a nuestra asesoría jurídica especializada en delitos informáticos. Si no la tenemos, lo mejor es dirigirnos al Colegio de Abogados de nuestra ciudad para que nos recomienden un letrado especializado en derecho de las nuevas tecnologías. En mi página enlaces, hay un montón de enlaces jurídicos. Podría ser un buen sitio para comenzar a buscar.

Si algún letrado se siente identificado y desea que le ponga un enlace, no tiene más que enviarme un correo electrónico solicitándolo.

Estudiar con la dirección de la empresa la posibilidad de poner una denuncia en comisaría. Yo siempre recomiendo denunciar, puesto que de momento ignoramos lo que los atacantes han podido hacer DESDE nuestros ordenadores (amenazas, chantajes, atacar a otros ordenadores, avisos de bomba, comprar con tarjetas de crédito falsas, etc). A todos los efectos, la dirección IP desde la que se han cometido esos delitos es la nuestra. En grandes empresas, la dirección suele no denunciar por motivos de prestigio. Ejemplo: un banco.

No es tan descabellada la opción de no denunciar, ya que todo el mundo sabe que los atacantes emplean servidores proxy y cuentas de correo anónimo. Mi recomendación es denunciar SIEMPRE.

Debemos notificar el ataque a todos nuestros empleados, clientes y proveedores. Los atacantes han podido negociar con ellos en nuestro nombre y desde nuestros ordenadores, por lo que estas personas han sido sorprendidas en su buena fe. Cambiar inmediatamente todos los nombres y contraseñas de acceso. TODOS.

Documentar todos los pasos que estamos realizando. No se tarda mucho en hacerlo, y previene de tomar decisiones apresuradas. También ayuda si posteriormente interviene la policía.

Desconectar TODOS los ordenadores de la red. Recuerda que los intrusos han dejado puertas traseras para volver a conectarse. Serian tontos si no lo hicieran. Obviamente vas a perder algunas transacciones, pero la política de seguridad de tu empresa (esa que ahora resulta que no tienes), ha previsto un servidor de emergencia aunque sea en un ordenador portátil, o en las instalaciones de tu proveedor de acceso a internet. Si no has tenido esa previsión, ten en cuenta que es poco lo que vas a perder, en comparación con lo que ya has perdido.

Si no desconectas la red, corres el riesgo de que los intrusos se conecten a tus ordenadores y vayan deshaciendo todos los cambios que hagas para recuperar el control.

Haz una copia de seguridad de los discos duros atacados. Mejor aún: quita esos discos y pon otros en su lugar. Al precio que tienen hoy los discos, te lo puedes permitir. Si por algún motivo no pudieras poner nuevos discos, haz una imagen del sistema atacado (por ejemplo con Norton Ghost), además de hacer copias en CD-ROM. No me digas que no tienes grabadora ...

Es posible que necesites recuperar algún archivo del disco atacado. También lo vá a necesitar la policía y el juzgado. Guárdalo en un lugar seguro.

Analiza todos los archivos del disco. No desprecies ninguno, y ten en cuenta que los atacantes habrán modificado lo que menos esperes, como por ejemplo troyanizar el acceso telefónico a redes.

Formatea el nuevo disco duro y reinstala el sistema operativo desde los CDs originales. No te arriesgues a sacar nada del antiguo disco duro. Puede llevar virus, troyanos o programas de administración remota. No te fíes del antivirus. Suelen detectar los virus "a posteriori"

Lo que tengas que recuperar de copias de seguridad, ten la seguridad que no llevan ningún "regalito" incluido. Recuerda que ignoras desde cuando han entrado en tus ordenadores.

Supongo que no hace falta que te hable de cortafuegos. Si estas en mi pagina, probablemente hayas llegado a ella desde cualquier enlace a la comparativa que hace tiempo publiqué en SET-24.

Probablemente tengas instalado algún sniffer para capturar contraseñas. Búscalo, y por supuesto cambia todos los nombres de acceso y todas las contraseñas. Lo mismo para virus, troyanos y programas de control remoto.

Es muy posible que hayan entrado a través de alguna vulnerabilidad conocida en tus programas. Obviamente tienes que parchear esas vulnerabilidades y/o actualizar los programas.

Haz todo lo anterior en todos tus ordenadores. La cadena se rompe siempre por el eslabón más débil.

Duplica tu red de ordenadores, dividiendo los ordenadores entre los que pueden acceder a redes y los que sólo tendrán conexión interna. No debe haber conexión entre ambas redes.

En tus ordenadores puede haber información de otros ordenadores atacados. Avisa a sus administradores e intercambia información con ellos.

Repasa los ficheros logísticos desde una copia de seguridad del disco atacado, en un ordenador sin conexión ni a internet ni a ninguna otra red. Probablemente te den ideas de como pudieron entrar, lo que pasó durante el ataque, y quienes pudieron acceder a tus ordenadores. No olvides que esto también lo saben los atacantes, y es posible que hayan modificado esos ficheros (poniendo en su lugar actividad completamente normal, copiada de los ficheros logísticos pertenecientes a otros días). Incluso tienen herramientas automatizadas, conocidas como zappers.

Ahora que vamos a reinstalar, procura que:

Tu disco NO se llame c:\
Tu directorio NO se llame ni windows ni winnt,
Que el servidor NO esté en inetpub/wwwroot,
El servidor resida en un CD-ROM
Huye de las configuraciones y contraseñas por defecto.
No des servicios que no sean necesarios. Siempre hay tiempo de ponerlos.
¿Lees los boletines de seguridad?. Los malos si lo hacen.

Aparecer en google es muy bonito. A todos nos gusta. Busca tus paginas y en restringir la búsqueda a los resultados, teclea:
Server.CreateObject("ADODB.Connection"). Busca las extensiones no *.htm*
Un atacante que obtuviera el path relativo de la base de datos a través de una conexión directa, tendría a su disposición todos los datos de tus clientes y formas de pago (por ejemplo).

Hay un programa hecho por "kosova hackers group" (o algo parecido) que automatiza el proceso de intrusión en servers con asp.

¿Has pensado en contratar a alguno de tus atacantes como empleado?. Tal vez os interese a ambos.

¿Has pensado en alojar tus paginas en el server de tu banco?. Tu banco tiene varios empleados que se ocupan 24 horas del server.

Insisto: instala TODOS los parches de seguridad.

Actualiza tu política de seguridad, con todo lo que acabas de aprender.

Calcula lo que ha costado la intrusión y que sea conocido el coste por todas las personas de la empresa. Infórmales de los cambios, de cómo les puede afectar y de la importancia de su colaboración en la seguridad informática de la empresa.

Antes de volver a conectar a la red interna o a internet, recuerda que ahora que tu sistema es más fuerte, supone un mayor atractivo para esos intrusos: el placer de volver a entrar en un ordenador, ahora mucho mejor protegido. En la mayoría de los casos ahora estás en mejor ocasión para recoger información de posibles intrusos (suponiendo que has aprendido algo de lo que acabas de leer).


Suerte.

 

Si por cualquier motivo no debes, no puedes, no quieres o no sabes utilizar tu cliente de correo electrónico o tu correo electrónico vía web, desde el formulario que hay en la página contactar, puedes ponerte en contacto conmigo. No puedo prometerte que vaya a contestar, por falta de tiempo para responder todos los correos que recibo, pero puedes tener la seguridad que leo absolutamente todo lo que recibo. Si lo que deseas es formular cualquier tipo de pregunta sobre seguridad informática, te recuerdo que existe una lista de correo específicamente para ello. !Suscríbete!