• Tweet

Es una actividad tediosa que puede dormir al mejor de los administradores. Pero como encargado de la seguridad en una gran organización de E.U., Adam Nunn ha aprendido a estudiar los logs de la actividad en su red de forma religiosa. Sabe que cuando los atacantes trabajan tiempo extra para romper sus defensas, esos logs pueden ser la primer pista de un problema.

El checaba relajadamente los logs en casa. Pero un día al revisar, se alarmó al encontrar más de 1,000 ataques de fuerza bruta dirigidos hacia su servidor Web personal en sólo un mes.

"Si no revisas tus logs, no te darás cuenta de esta actividad", indicó Nunn. "El hecho de que toneladas de esos ataques se dirijan a mi servidor Web casero indica que ataques mucho más grandes se están realizando contra las empresas. Esto realmente me preocupa".

David Hoelzer, dueño de la firma de seguridad Cyber-Defense, dijo que la preocupación de Nunn está justificada. En los últimos meses ha observado un incremento sustancial de los ataques de fuerza bruta contra el SSH. Así como Nunn, comparó sus notas con otros profesionales de seguridad y encontró que esto está ocurriendo en una mayor escala. Lo peor es que los atacantes estan utilizando un ejército de máquinas zombie para realizarló.

"Si fuera un administrador revisando los logs y observara esto la primera vez, tendría un sentimiento de temor", dijó Hoelzer. "Esto te dice que los atacantes obtienén más ventajas al vulnerar el SSH. Ha tomado mucho tiempo a las personas cambiar de Telnet a SSH, que es más seguro. Pero si eres vulnerado en la red a travez de SSH, el ataque va cifrado y es más dificil de detener".

Atacantes 'Encontrando algo'

SSH, también conocido como Secure Socket Shell, es un comando de la interfaz y un protocolo de UNIX, de acuerdo a Whatis.com. Extensamente utilizado por los administradores de red para controlar remotamente la Web y otras caraterísticas de los servidores. Los comandos SSH son seguros en varias formas. Ambos extremos de una conexión cliente/servidor se autentican utilizando certificados digitales, y las contraseñas se protejen al enviarse cifradas. Por lo tanto, cuando alguien puede penetrar un firewall a través de SSH, según Hoelzer, "Es un gran problema".

"Cuando observas una actividad tan extensa, significa que los atacantes han encontrado que mucha gente esta corriendo SSH, por lo que es un vector de ataque muy atractivo", indicó. "Otra razón es que los atacantes no perderán el tiempo. No atacarán aleatoriamente esperando encontrar algo. Si están atacando el SSH, están buscando algo que puedan usar".

El efecto zombi

Estos ataques son otra indicación de como los atacantes están utilizando su ejército de máquinas secuestradas, según Hoelzer. "Muchos de los sistemas que realizan los escaneos al SSH, generalmente, no pertenecen al atacante real", indicó. "Son sistemas que habian sido comprometidos y son utilizados para buscar nuevos sistemas que explotar. El problema para los que intenten encontrar la fuente del ataque es que no es necesariamente donde está el atacante, pero si donde está la máquina comprometida."

Mientras que el ejército de zombis es global, muchas de las exploraciones vienen de máquinas comprometidas de China, Brasil y E.U. La gran mayoría con PCs o computadoras de pequeñas empresas.

Lineas de defensa

El consejo de Hoelzer para los administradores es evitar mantener los servidores de SSH conectados a Internet lo más posible, "Les digo a mis clientes, nunca tener el SSH disponible para Internet, ni cualquier otra herramienta administrativa", indicó.

Si es absolutamente necesario tener acceso Web, Hoelzer indicá que debera ser muy restringido. "Si restringimos quien puede conectarse via SSH, eso hara una gran diferencia", indicó, "también aconsejaría a las personas utilizar los certificados para la autentificación si es necesario utilizar SSH, eso anularía el ataque".

Los usuarios harían bien al seguir el ejemplo de Nunn, comprobar sus registros regularmente, indicó.

"Las personas tienden a observar los registros solamente cuando ha sucedido algo", indicó, "esto demostrará que es necesario revisar los logs regularmente. Las personas no lo hacen por ser una actividad aburrida. Pero existen varias herramientas que pueden automatizar la tarea. En un ambiente UNIX, Logcheck es una gran herramienta. Swatch y Security Event Correlator (SEC) son buenos también".