Llegamos a ustedes gracias a:



Columnas de opinión

Gusano Blaster: Lecciones aprendidas una década después

Por: Aaron Turner, fundador y presidente de IntegriCell.

(11/09/2013) Hace 10 años tuve una experiencia laboral que alteró mi vida. Yo estaba en el equipo de Microsoft que estaba tratando de resolver dos grandes problemas:
* Dos mil millones de computadoras habían sido infectadas con un virus autorreplicante (conocido como "gusano"), ahora conocido como Blaster.
* El corte de energía NE fue, durante un período de tiempo y por algunas personas, atribuida a Blaster.
Muchos de mis antiguos compañeros pasaron literalmente un año de su vida trabajando conmigo para arreglar las consecuencias de estos problemas. Hay más amigos con los que más tarde trabajé en el Idaho National Lab (INL), que me ayudaron a entender la amplitud del problema, que fue descubierto por el Blaster, concretamente la dependencia de infraestructuras críticas sobre tecnologías orientadas al consumidor.
Gran parte del éxito en mi carrera se debe a la gente que conocí (trabajando muchas horas), y las lecciones que aprendí (de forma dura) en esas semanas trabajando fuerte para tratar de entender el alcance del problema, y luego los meses que estuvimos tratando de arreglar algo para el año siguiente. Fue uno de los proyectos más caros en los que he trabajado.
Microsoft gastó millones y millones de dólares para mejorar los procesos y las tecnologías internas con el fin de evitar un resultado similar en el futuro. Y otros millones para ayudar a los clientes a mejorar sus infraestructuras tecnológicas, y luego los clientes gastaron millones y millones más para ser más resistentes a los eventos futuros de ciberseguridad.
Pero, de lejos, el mayor costo de Blaster fue la carga personal que nos tomó a todos los que estuvimos involucrados. El equilibrio vida/trabajo siempre ha sido un problema para mí, y cuando un problema de esta magnitud apareció, me aboqué de lleno a resolverlo. Teleconferencias nocturnas, dormir en el suelo de laboratorios de computación, comidas apresuradas para llevar a la sala de conferencias y muchas más horas dedicadas al trabajo que nunca antes, incluso antes de Blaster, generó una tensión en mi matrimonio. Afortunadamente, mi querida esposa Holli (con quien voy a celebrar 18 años de matrimonio este mes) me trajo a mis sentidos en una conversación muy directa en noviembre del 2003, que sin duda impidió el divorcio y estableció un camino en el que ella y yo seguimos cosechando beneficios personales, de carrera y económicos construidos sobre la base de experiencias como las del 2003.
La única razón por la que tuve la oportunidad de volver a equilibrar mi vida fue a través del trabajo duro y la dedicación de los demás. Los primeros días de los esfuerzos de seguridad eran más como un departamento de bomberos voluntarios, que un esfuerzo de arriba hacia abajo. Yo estaba en el equipo de servicios de Microsoft durante el incidente Blaster. Éramos responsables de todas las interacciones con los clientes, tanto en la medición del impacto de Blaster sobre ellos, como en la comunicación de las soluciones. El modelo de negocio de Microsoft se basó en muy pocos empleados de Microsoft y un ejército de colaboradores (revendedores, proveedores de servicios, etc.). Esto significa que, si bien hemos tenido contacto directo con miles de clientes de Microsoft (la mayoría de ellos amenazando con demandar a Microsoft por daños y perjuicios en los primeros días), se tuvo que recurrir a miles de personas para poder darle respuesta a los millones de clientes afectados por el evento. Los esfuerzos de capacitación que coordinamos para ayudar a que los socios resuelvan eficazmente el problema Blaster fueron enormes.
Afortunadamente para Microsoft y sus clientes, miles de personas hicieron sacrificios personales increíbles para ayudar a que las organizaciones de todos los tamaños se recuperen de los efectos de Blaster. Para todos ustedes, tanto el personal interno de Microsoft, así como los empleados de asociados externos, e incluso aquellos clientes super-inteligentes de Microsoft, que trabajaron conmigo durante ese año terrible que fue el 2003, gracias por compartir su experiencia. Gracias por haber hecho sus propios sacrificios para ayudar a que Microsoft y sus clientes traten de darle sentido a la locura que fue ese mes de agosto. Sé que muchos de ustedes pagan altos precios por sus esfuerzos personales. Hay muchos de nosotros que, literalmente, hemos perdido un año de nuestras vidas a causa de las fallas subyacentes en las tecnologías y la explotación de esos defectos para malos propósitos.
Hay muchas razones en mi humilde opinión, por las qué no hemos visto otro evento cibernético de nivel Blaster. Definitivamente el equipo de Microsoft aprendió la lección y pasó una increíble cantidad de tiempo para mejorar la forma en que la tecnología se ha desarrollado y desplegado. Sin embargo, no todas las empresas pueden permitirse el lujo de financiar esfuerzos de movilización de seguridad que cuesten varios millones de dólares.
Sobre la base de algunas de las investigaciones que he hecho en la última década, también he visto que los adversarios (los malvados como los llamábamos entonces) han cambiado fundamentalmente la manera en que operan. En una ocasión, mientras trabajaba en INL, estaba trabajando con un equipo de investigadores internacionales y vimos que los atacantes se auto controlaban a la hora de desplegar ataques de gusano. Un individuo en un canal de IRC se jactó de que podía desplegar un gusano que podía ocupar una vulnerabilidad sin parche. Las otras personas en ese canal inmediatamente amenazaron al fanfarrón con daños corporales en caso de que continúe con su plan.
Tiene sentido cuando se piensa en ello. Los gusanos masivos causan gran negación de los problemas de servicio, cegando así a los atacantes y evitando que exploten los sistemas que ya controlan. Además, los gusanos conducen un ciclo de noticias que resulta en la mejora de las infraestructuras de organizaciones y aplicaciones, reduciendo de este modo la superficie de ataque. Los gusanos como Blaster son malos para su negocio, y creo que es por eso que no hemos visto incidentes de tamaño similar desde entonces. Los problemas de la tecnología subyacentes no han sido resueltos. La causa principal de Blaster era una vulnerabilidad en los sistemas operativos de Microsoft. Pero el factor que incrementó exponencialmente el impacto del gusano fue el hecho de que los clientes de Microsoft no gestionaban adecuadamente sus infraestructuras tecnológicas.
Cuando voy a conferencias y hablo sobre el tema de la seguridad móvil de hoy, este es uno de los puntos clave sobre los que me concentro: La gestión de la configuración es cada vez peor, no mejor. Hace unos años empecé a jugar un juego que llamé Smartphone Bingo. Requería que todos los que estaban en la sala sacaran su teléfono inteligente o tableta, abrieran la configuración del dispositivo y luego encontraran la versión del sistema operativo. Entonces yo empezaba una especie de subasta inversa, llamando números de la versión para ver quién tenía la versión más antigua, sin parches. A veces queríamos limitar los dispositivos en nuestro juego de bingo a solo dispositivos emitido por la corporación. Es sorprendente para mí que incluso las organizaciones más maduras están ignorando completamente las lecciones muy duramente aprendidas sobre gestión de la configuración de los cada vez más numerosos dispositivos móviles. Dentro de una organización con la que hablé el año pasado, tenían más de 60 mil smartphones y más de 20 mil diferentes configuraciones/versiones de esos teléfonos inteligentes desplegados. En los últimos años, hemos visto más y más evidencia de cómo los atacantes se dirigen a la tecnología móvil, ya sea para beneficio económico directo o para robar la propiedad intelectual y obtener ventajas a largo plazo. La falta de gestión de la configuración efectiva en los dispositivos móviles conectados a la empresa, hace que su trabajo sea increíblemente fácil.
Imagine que yo tuviera una máquina del tiempo y volviera a agosto del 2004. En ese viaje imaginario, me siento con los CIO/CISO de los clientes de Microsoft a quienes el año pasado acababa de ayudar a recuperarse de Blaster y les digo que en el año 2013 se basarán en la buena voluntad de los empleados para mantener la tecnología móvil de su empresa configurada en una forma de evite un compromiso del sistema. Estoy seguro de que se reirían en nuestra conversación imaginaria. ¿Cómo es que alguna vez será posible creer que nosotros, como profesionales de la seguridad de tecnología e información, podríamos llegar a ponernos en una situación de fracaso como lo hicimos en el 2003?
Por desgracia, la realidad es que nos estamos preparando para fracasar. Todos los dispositivos Android o iOS sin parches a los que les permiten tener pleno acceso al Exchange ActiveSync, son una invitación a los malhechores para que roben el correo electrónico de su empresa, los archivos adjuntos y las listas de contactos. Cada vez que menciono esto en una conferencia, siempre hay gente que responde: "Soy solo una pequeña empresa de la industria, seguramente los atacantes van en busca de peces más grande que yo".
La realidad es que los atacantes van tras objetivos de oportunidad con la misma frecuencia, ya que están dedicando sus esfuerzos para atacar a una organización específica. Si no va a aplicar una estricta política de gestión de configuración de tecnología móvil, va a generar un riesgo que lo podría demoler. Aunque no creo que alguna vez vuelva a ver otro evento a nivel Blaster que afecte miles de millones de sistemas, estoy seguro de que las fallas de gestión de configuración son explotadas cada día de forma oportunista, así como durante los ataques dirigidos. Hemos visto algunos ataques no persistentes muy interesantes ejecutados en dispositivos iOS y Android que dejan muy pocos rastros forenses, a medida que hemos ayudado a nuestros clientes de consultoría.
La adecuada gestión de la configuración móvil puede ser difícil debido a las tecnologías relativamente limitadas que están disponibles para manejar esa situación. Sin embargo, solo porque es difícil no nos da a los tecnólogos la excusa para ignorar el problema. La disciplina, la innovación y el trabajo duro serán necesarios hasta que veamos plataformas de gestión de la tecnología móvil que se ponen al día con sus homólogos de servidor/escritorio/laptop.
Me resulta difícil de creer que ya ha pasado una década desde Blaster. Estoy triste por el hecho de que a veces me parece que hemos olvidado muchas de las duras lecciones que aprendimos en el otoño del 2003. Estoy muy agradecido de que no hayamos tenido un evento de magnitud similar desde entonces. Aquí está la esperanza de que podemos evitarlo por un largo, largo tiempo y que podemos seguir aplicando las lecciones aprendidas duramente a las nuevas tecnologías a medida que se integran en nuestras empresas, y que podemos mantener una buena batalla contra los que quieren robar y darle mal uso a nuestra información.
Aaron Turner, CSO (EE.UU).
Veterano de Seguridad, Aaron Turner, ex estratega de la división de seguridad de Microsoft, es el fundador y presidente de IntegriCell.