francisco.monserrat@rediris.es
A pesar de la seguridad que pueden ofrecer los sistemas operativos Unix y Linux, sigue aumentando significativamente el número de equipos con estos sistemas operativos que son atacados con éxito de forma remota, consiguiendo el atacante acceder como administrador al equipo.
Esta situación se ha visto agravada esta año con la reaparición de los programas gusano para equipos Unix, que consiguen acceso automáticamente a los equipos vulnerables, dejando algunas veces puertas abiertas para posteriores accesos.
Con el aumento de popularidad de los sistemas Unix para plataformas Intel, y sobre todo de Linux en sus distintas distribuciones, el número de incidentes de seguridad en los que son atacados este tipo de sistemas ha aumentado considerablemente en los ultimos tiempos.[1]
En la mayoría de las ocasiones los atacantes no realizan un ataque diriguido hacia un servidor concreto, sino que van buscando equipos vulnerables ante determinado conjunto, limitado, de vulnerabilidades hasta que encuentran un equipo vulnerable, que es atacado.
Una vez que el atacante ha obtenido acceso al sistema suele instalar y modificar varios ficheros del equipo para ocultar su presencia. Muchas veces la forma más segura de solucionar el problema es reinstalar el sistema operativo y datos desde una copia de seguridad anterior a la fecha en la que se produjo el ataque.
Este año han aparecido diversos programas y scripts de ataque que combinados formaban un gusano, es decir un programa que buscaba y atacaba automáticamente otros equipos replicándose sin requerir ninguna interacción con el usuario.
Así a finales del año pasado y principio de este año aparecerieron diversos Gusanos, Rameno Li0n, para equipos Linux y sadmin/IIS que infectaba a equipos Solaris y atacaba simultaneamente servidores IIS de Microsoft.
Estos gusanos empleaban vulnerabilidades conocidas y solucionadas bastante antes de la aparición del gusano, pero al no haber sido actualizado el equipo víctima se producía un ataque exitoso. Una de las ventajas de los gusanos es que es posible analizar cuales son las acciones que ejecutan en el sistema, por lo que si no ha habido accesos posteriores al equipo y se conoce exactamente qué gusano ha sido el causante del ataque es posible solucionar el problema con más rapidez que en el caso de un ataque "manual".
Dado que estos gusanos son un caso específico de los incidentes de seguridad, se tratarán indistintamente al resto de accesos no autorizados a los equipos.
Hay que indicar que los procedimientos mencionados a continuación están pensados para situaciones en las que se requiere que los equipos atacados vuelvan a funcionar rápidamente y en los que no ha habido un perjuicio serio.
En caso de que sea más conveniente una investigación judicial del ataque lo más conveniente sería acudir a los servicios jurídicos de la organización y contactar con las autoridades, ya que la manipulación del sistema pueda invalidar las posibles pruebas existentes en el equipo.
[1] | estadísticas del CERT/CC muestran la evolución de incidentes de cualquier tipo gestionados por el CERT/CC, además en en los informes anuales de este organismo aparecen año tras año las vulnerabilidades más empleadas por los atacantes para acceder a los equipos, en la mayoria de las veces servicios ejecutandose sobre plataformas Unix |
Siguiente | ||
Un incidente de seguridad típico |