Wednesday, May 03, 2006
¿Es usted de Tangamandapio? - Caso de Seguridad

Si no es de Tangamandapio (con el perdón del caso a los habitantes de dicha ciudad, y en honor a Jaimito El Cartero) entonces ¿por qué no está usted vigilando sus sistemas como es menester?

Hemos abusado de este título para provocar su atención, a fin de que al acabar de leer ésta breve nota, dejemos de practicar la filosofía de Jaimito "El Cartero" cuando hablamos de "prevención". Si recuerda, Jaimito "El Cartero" solía decir: "es que quiero evitar la fatiga". A continuación el caso del mes.

Recientemente una universidad en Canadá nos envió el siguiente patrón de tráfico:

Apr xx 19:08:34 kraken sshd[6887]: [ID 947420 auth.warning] refused connect from 216.244.177.xxx
Apr xx 19:26:03 kraken sshd[8242]: [ID 947420 auth.warning] refused connect from 216.244.177.xxx

From the logs on "drop":
Apr xx 19:08:37 drop sshd[2961]: [ID 947420 auth.warning] refused connect from 216.244.177.xxx
Apr xx 19:26:06 drop sshd[3068]: [ID 947420 auth.warning] refused connect from 216.244.177.xxx

From the logs on "mimir":
Apr xx 19:08:33 mimir sshd[2590]: [ID 947420 auth.warning] refused connect from 216.244.177.xxx
Apr xx 19:26:07 mimir sshd[2611]: [ID 947420 auth.warning] refused connect from 216.244.177.xxx

From the logs on "nemo":
Apr xx 19:08:38 nemo sshd[13099]: [ID 947420 auth.warning] refused connect from 216.244.177.xxx
Apr xx 19:26:09 nemo sshd[13239]: [ID 947420 auth.warning] refused connect from 216.244.177.xxx

Nota: Las "xxx" son intencionales para no revelar la IP de nuestro cliente.
Descripción del ataque: Podemos ver líneas arriba según los registros de tres sistemas Linux (llamados: nemo, mimir y kraken y drop) como la IP 216.244.177.xxx ha intentado autenticarse sin éxito a los servicios de shell seguro o SSH en dichos sistemas. Desde que es un autenticación sin éxito, esta actividad es catalogada (a conveniencia del destino) como una "maliciosa" o amenazante. Por esa razón, es que los encargados en la seguridad en dicha red, se ponen en contacto con TELMEX, para que aclaremos ésta delicada situación.

Al verlo, notamos la penosa realidad de que se trataba de un nodo cliente, que por razones desconocidas a nosotros había sido comprometido, y estaría siendo empleado para escanear la red de la Universidad de Toronto, específicamente en el servicio SSH (Secure Shell).

Seguramente usted se preguntará ¿por qué suceden estos eventos?
Estos eventos se producen "en su mayoría" por la débil defensa de seguridad en el extremo de las redes, especialmente en aquellas redes cuyos "administradores" que no hacen su tarea, esta es "asegurar su red", y más específicamente "parchar sus sistemas" y seguir prácticas como las que publicamos en este sitio (además de otros)

Escaneos como el visto (los adjuntos arriba) son comunmente gobernados generalmente de forma remota a través de un rootkit por un hacker que desea penetrar una nueva red o una red más segura sin ser descubierto. Sin ser descubierto decimos, pues la que fue originalmente comprometida hacen las veces de señuelos para despistar el rastreo (son señuelos, porque la información almacenada en ellas, puede no importarles mucho). Para tomar estas máquinas señuelos debió antes, haber explotado alguna vulnerabilidad que el administrador olvidó cuidar. Hecho que no debería acontecer si la empresa donde se albergan estos sistemas fueran atendidos a tiempo por un administrador de seguridad.

Aunque muchas veces puede resultar rutinario y aburrido parchar los sistemas, este es un trabajo que paga bien, pues nos libraremos de un buen número de problemas similares al visto. Penosamente, las cosas en los sistemas Linux (que son generalmente las víctimas de estos problemas) no es tan sencilla como en Windows, y hace falta que el dueño de un sistema con plataforma Linux tome conciencia, y cuente con el soporte de seguridad permanente para esta problemática (parchar a tiempo sus sitemas Linux)

Por lo señalado, queda claro que no conviene ser como Jaimito El Cartero, por que la seguridad requiere proactividad y dinamismo. Conciencia que debe primero calar hondo en los funcionarios de las empresas, quienes toman decisiones más estratégicas que repercuten en el mejor cuidado de nuestra parte. No obstante, si el lector es un especialista de redes y sistemas, debe actuar siempre bajo la regla del "hombre prudente" y actualizar sus sistemas.

Nuevamente, en seguridad informática no hay tangamandarismo que valga, aun si "el parchar sistemas" fuera la más desgastante tarea en todo el mundo para proteger nuestras redes; siempre valdrá la pena el sacrificio.

Javier Romero
GCIA CISSP GCSC Dipl. SGSI
Departamento Especializado en Seguridad - Internet
http://www.telmex.com.pe/seguridad/internet

5/3/2006 8:46:25 AM (SA Pacific Standard Time, UTC-05:00)  #    Comments [43]Trackback
Tracked by:
"mesothelioma attorney" (mesothelioma lawsuit) [Trackback]
"fusarium keratitis" (renu recall lawyer) [Trackback]
"mesothelioma" (mesothelioma) [Trackback]
"mesothlioma" (mesothelioma) [Trackback]
"benzene lawyer" (benzene leukemia lawyer) [Trackback]
"renu recall eye fungus" (renu recall eye fungus) [Trackback]
"ortho evra lawyer" (ortho evra lawyer) [Trackback]
"renu recall" (renu lawsuit) [Trackback]
"dentistico" (dentistico) [Trackback]
"cori ultras napoli-12" (cori ultras napoli-12) [Trackback]
"amplificatore+sintonizzatore" (amplificatore+sintonizzatore) [Trackback]
"map+of central park new york" (map+of central park new york) [Trackback]
"diabetica" (diabetica) [Trackback]
"wwe diva vietato-12" (wwe diva vietato-12) [Trackback]
"docking" (docking ) [Trackback]
"camerette i per piccoli pi??" (camerette i per piccoli pi?? ) [Trackback]
"truccata+strega" (truccata+strega) [Trackback]
"ecosistema+tevere" (ecosistema+tevere ) [Trackback]
"s-p mib 21 novembre 2006" (s-p mib 21 novembre 2006) [Trackback]
"andrula-blanchette" (andrula-blanchette) [Trackback]
"ggg10" (ggg10) [Trackback]
"fff9" (fff9) [Trackback]
"fff9" (fff9) [Trackback]
"zoloftwithdrawaldizziness" (zoloftwithdrawaldizziness) [Trackback]
"Map Of Peru" (Map Of Peru) [Trackback]
"blog" (blog) [Trackback]
"blog" (blog) [Trackback]
"Nice blog..." (free asian porn online videos) [Trackback]
"I have been looking for blogs like this for a long time. Thank you!" (pbs-arthu... [Trackback]
"Thank you for your blog. I have found here much useful information..." (cadilla... [Trackback]
"Greetings!.." (rpmgo cart racing) [Trackback]
"Very cool design! Useful information. Go on!" (consolle ps2) [Trackback]
"Hacker Conference" (Hacker Conference) [Trackback]
"Very interesting webblog. Keep up the outstanding work and thank you..." (whole... [Trackback]
"Cool!.. Nice work..." (lafamiglia del professore matto) [Trackback]
"relational-database management system concept" (relational-database management ... [Trackback]
"register domain name registration service" (register domain name registration s... [Trackback]
"tool password travian" (tool password travian) [Trackback]
"ridurre+file mp3" (ridurre+file mp3) [Trackback]
"aya-brea naked" (aya-brea naked) [Trackback]
"jaqueline saburido" (jaqueline saburido) [Trackback]
"virgilio pagine bianche" (virgilio pagine bianche) [Trackback]
"davanti a tutti" (davanti a tutti) [Trackback]
"superenalotto" (superenalotto) [Trackback]
"james brown greedy man" (james brown greedy man) [Trackback]
"referbished+notebook" (referbished+notebook) [Trackback]
"software contabilita" (software contabilita) [Trackback]
"door+panel for jeep cheerokee" (door+panel for jeep cheerokee) [Trackback]
"grafica+web" (grafica+web) [Trackback]
"sms gratis web" (sms gratis web) [Trackback]
"itinerario+montani piemonte" (itinerario+montani piemonte) [Trackback]
"sesso peloso" (sesso peloso) [Trackback]
"giubbini-jeans uomo" (giubbini-jeans uomo) [Trackback]
"1st+amendment rights" (1st+amendment rights) [Trackback]
"free down loads msn winks" (free down loads msn winks) [Trackback]
"jordan river satalite view" (jordan river satalite view) [Trackback]
"domanda+circa fallimento" (domanda+circa fallimento) [Trackback]
"accordo-canzone" (accordo-canzone) [Trackback]
"amministrazionecomunale donnas" (amministrazionecomunale donnas) [Trackback]
"accordochitarra" (accordochitarra) [Trackback]
"acquisto francobollo" (acquisto francobollo) [Trackback]
"amministrazione" (amministrazione) [Trackback]
"accordo per chitarra" (accordo per chitarra) [Trackback]
"acquisto portatile" (acquisto portatile) [Trackback]
"amministrazione-chicago dell" (amministrazione-chicago dell) [Trackback]
"amministrazione-autonoma dei" (amministrazione-autonoma dei) [Trackback]
"acquisto+domini" (acquisto+domini) [Trackback]
"accordo" (accordo) [Trackback]
"accordo" (accordo) [Trackback]
"amministrazione" (amministrazione) [Trackback]
"acquisto domini" (acquisto domini) [Trackback]
"accordo per chitarra" (accordo per chitarra) [Trackback]
"acquisto dvd vergini" (acquisto dvd vergini) [Trackback]
"amministrazione+aiuto debito" (amministrazione+aiuto debito) [Trackback]
"amministrazionecomunale alcamo" (amministrazionecomunale alcamo) [Trackback]
"prestito acquisto casa" (prestito acquisto casa) [Trackback]
"accordo+canzoni" (accordo+canzoni) [Trackback]
"mutuo-acquisto prima casa" (mutuo-acquisto prima casa) [Trackback]
"acquisto internet" (acquisto internet) [Trackback]

© Copyright 2009 TELMEX PERU S.A.
Theme design by Bryan Bell

newtelligence dasBlog 1.7.5016.2
Subscribe to this weblog's RSS feed with SharpReader, Radio Userland, NewsGator or any other aggregator listening on port 5335 by clicking this button.   RSS 2.0|Atom 0.2|CDF  Send mail to the author(s) | Page rendered at 1/7/2009 7:10:20 AM (SA Pacific Standard Time, UTC-05:00)

Reset | Discreet Blog Blue | Just Html | Movable Radio Heat | Candid Blue | DasBlog | Movable Radio Blue | Slate | Custom