Hace un mes o dos, estaba teniendo una conversación con un médico sobre enfermedades oscuras, comúnmente conocidas como cebras. Mientras estaba considerando estas cebras en el contexto de estrategias efectivas de minería de datos para el diagnóstico médico, él hizo un punto interesante. Una de las cosas que enseñan a los nuevos médicos es la frase » Cuando oigas pezuñas, piensa en caballos, no en cebras.»El principio es bastante simple: las probabilidades son que el paciente tenga el diagnóstico más común que uno raro e improbable. Un ejemplo simple pero ilustrativo sería el siguiente (robado a un miembro de la familia de un médico):
Una paciente adolescente presenta un historial de tres semanas de dolor de cabeza, fatiga y fiebre intermitente, pero estaba históricamente sana. El examen físico no fue notable y, aparte de las fiebres ocasionales, el único síntoma notable fue que tenía un color pálido. La cebra podría haber sido meningitis o un tumor cerebral, y el profesional inexperto ordenaría miles de dólares en pruebas y sometería al paciente a múltiples procedimientos. Pero un recuento sanguíneo de rutina mostró que simplemente estaba anémica, el caballo, y solo necesitaba hierro extra. La regla: Piensa en caballo sin descartar cebras.
Este principio de cómo nosotros, como seres humanos, tendemos a complicar demasiado las cosas resuena en mí, pero para un sector completamente diferente que ha ocupado un lugar destacado en las noticias de la ciberseguridad tardía.
Para considerar este problema, discutamos tres virus similares de la variedad informática, también conocidos como gusanos informáticos.
Nuestro primer gusano se llama «Código Rojo». Este era un virus de Windows que podía ejecutar código arbitrario una vez en el sistema del host. Además, el gusano infectaría un servidor web de Windows y mostraría el siguiente mensaje:
Y, por supuesto, el gusano buscaría propagarse y encontrar otros hosts infectables en máquinas sin parches. Un parche para esta vulnerabilidad se había ofrecido un mes antes de los ataques de Code Red, pero pocas instituciones lo instalaron. Esto causó importantes dolores de cabeza y vergüenza a los departamentos de TI en múltiples sectores.
Nuestro segundo gusano es Nimda. Nimda podría transferirse a una computadora de cinco maneras diferentes, incluido el correo electrónico. Se convirtió en uno de los primeros gusanos en poder ejecutar su código incluso si el host no abría el correo electrónico infectado. Nimda impidió que los trabajadores de la corte federal accedieran a los archivos de la corte electrónicamente y los documentos de la corte infectados tuvieron que limpiarse uno por uno. Nimda, como Code Red, explotó una vulnerabilidad de Windows ya parcheada. Sin embargo, causó daños significativamente mayores debido a los múltiples puntos de entrada y la rápida propagación.
Nuestro tercer gusano es WannaCry. Al igual que con los dos últimos gusanos, Microsoft había ofrecido un parche que habría protegido contra la amenaza WannaCry. Sin embargo, hay un poco de detalle aquí que es relevante: un parche no se emitió originalmente para el sistema operativo Windows XP. Hubo cierta frustración de los usuarios con esto, pero debe tenerse en cuenta que Windows XP estaba «Al final del soporte» durante más de tres años en el momento de este brote (más sobre esto más adelante). WannaCry cifró archivos locales en la máquina y ofreció el siguiente mensaje a los usuarios:
El usuario tenía la opción de pagar el «rescate» o perder el acceso a sus archivos de forma permanente. Al mismo tiempo, el gusano continuaría tratando de propagar la infección a otras máquinas que tenían la vulnerabilidad sin parches. Afortunadamente, había un «interruptor de apagado» que un investigador de malware inteligente identificó y activó y gran parte del potencial del gusano nunca se realizó.
Mientras terminaba este post, un nuevo exploit de ransomware llamado Petya comenzó a infectar sistemas en todo el mundo. Según TechCrunch, » Todo sobre esta situación indica que muchos gobiernos y empresas de todo el mundo no tomaron en serio a WannaCry, no parchearon sus sistemas y ahora están pagando el precio.»
Como dijo Brian Krebs, » Las organizaciones e individuos que aún no han aplicado la actualización de Windows para el exploit de Eternal Blue deben parchear ahora. Sin embargo, hay indicios de que Petya puede tener otros trucos bajo la manga para propagarse dentro de grandes redes.»Esto sugiere que Petya puede ser simplemente la salva de apertura, todo resultado de malas prácticas de parches.
El hilo común detrás de todos estos exploits es que los sistemas no se parchearon rápidamente y, por lo tanto, se expusieron a estos gusanos. De hecho, se trataba de problemas prevenibles. Pero lo que hace que esto sea realmente interesante es que los primeros gusanos fueron en 2001 y el último en 2017. ¿Cómo es que 16 años después, estamos experimentando el mismo problema?
A finales de la década de 1990 y principios de la década de 2000, mientras construíamos OpenTable, nunca considerábamos los problemas de ciberseguridad, ya que estábamos tan enfocados en hiperescalar el negocio y las amenazas conocidas eran mínimas. Sin embargo, sufrir a través de Nimda y Código Rojo me hizo despertar. Acudí a nuestra Junta Directiva de OpenTable y les informé sobre las amenazas emergentes en el ciberespacio y cómo nuestra red podría ser vulnerable a él. Afectaría directamente a la estabilidad, escalabilidad e integridad de nuestro negocio y, por lo tanto, deberíamos invertir en hacerlo más seguro. Propuse un plan de seguridad centrado en hacer bien los conceptos básicos de seguridad, y fue financiado. Si bien la seguridad siguió siendo un problema continuo, y estoy seguro de que preocupa a la gente de OpenTable hoy, se convirtió esencialmente en un proceso resuelto y pudimos construir sobre una base estable.
El núcleo detrás del enfoque fundacional era simple. Parchee sus sistemas de manera oportuna, controle lo que se puede ver en Internet y autorice adecuadamente los sistemas. Un usuario debe tener los permisos mínimos para lograr lo que necesita. Este enfoque básico evita notablemente una enorme cantidad de exposición a la seguridad. Este es el enfoque de «caballo».
Este sentimiento se hizo eco en un reciente podcast de seguridad de O’Reilly, «Dave Lewis on the tenacity of solvable security problems». Lewis, un defensor de la seguridad global de Akamai, hizo el siguiente comentario que resuena claramente:
» Hace más de veinte años, cuando empecé a trabajar en seguridad, teníamos un conjunto definido de cosas con las que teníamos que lidiar de forma continua. A medida que nuestros entornos se expanden con cosas como la computación en la nube, hemos tomado ese conjunto central de preocupaciones y las hemos multiplicado más, más, más. Cosas que deberíamos haber estado haciendo bien hace 20 años, como parches, administración de activos, han empeorado mucho en este momento. Hemos aumentado nuestra deuda de seguridad a niveles inmanejables en muchos casos. Las personas que son responsables de parchear terminan pasando ese deber a la siguiente persona junior en la línea a medida que avanzan en su carrera. Y esa persona joven, a su vez, se lo pasa a quien viene detrás de ellos. Por lo tanto, los parches tienden a ser algo que se desvía al borde del camino. Como resultado, el problema sigue creciendo.»
La moraleja de la historia es que necesitamos volver a lo básico para detener esta falta de progreso en un área crítica. Cuando era Director de Información (CIO) de la Ciudad de Chicago, dediqué un tiempo y un esfuerzo considerables a crear un programa de ciberseguridad. Lamentablemente, en todos los niveles de gobierno esa es una esfera que sigue careciendo de personal, de recursos y de recursos suficientes. A medida que innovamos y nos movemos hacia sistemas más digitales, es uno de los problemas más críticos que el gobierno debe tener en cuenta.
A pesar de los beneficios obvios de un enfoque de caballo para la seguridad, como CIO I estaba constantemente acosado por proveedores que ofrecían sistemas altamente especializados para casos de uso muy específicos. Me negué a hacer este tipo de gastos de cebra cuando ni siquiera podía cubrir el caballo. Así que empezamos un programa centrado en los cimientos, y construyendo a partir de ahí cuando sea práctico.
Las agencias deben considerar estos pasos básicos de ciberhigiene como una base para lograr un progreso crítico:
- Manténgase al día con los parches y conviértalos en una prioridad de departamento — agencia: es aburrido, pero es efectivo.
- Sistemas de permisos adecuados con los permisos mínimos necesarios.
- Para el tráfico web, utilice siempre SSL. https://https.cio.gov/
- El ejecutivo de la agencia necesita un recurso sénior de ciberseguridad que comprenda la tecnología.
No hay excusa para permitir que la historia se repita. Las malas prácticas de hace diez años no deberían seguir atormentando a las organizaciones de hoy, y la forma más efectiva de prevenir los ataques cibernéticos del mañana es apostar por el caballo.