Brian Krebs de “Krebs en Seguridad” acaba de publicar un
artículo sobre los hacks de tipo RDP (Protocolo de Escritorio Remoto, por sus
siglas en inglés) mismo que explota credenciales de acceso débiles o por
defecto, para luego pasar a describir cómo eso provee los básicos para un
negocio de cibercrimen. Su artículo explica que Makost[dot]net renta acceso a
más de 6000 RDP que están configurados de manera muy rudimentaria y, por lo
tanto, compromete a los servidores con capacidad RDP alrededor del mundo. Como
Kreb dice: “… los atacantes simplemente necesitan escanear la internet por
hosts que estén escuchando el puerto 3389 (RDP de Microsoft), identificar
nombres de usuarios válidos y luego tratar de usar el mismo usuario como
contraseña”. Es un ataque clásico de fuerza bruta y está orientado directamente
a un objetivo extremadamente débil.
Para que quede
claro, RDP (por sus siglas en inglés) es un protocolo propietario de Microsoft
que provee una interfaz gráfica para conectar una computadora con un sistema
operativo Windows (servidor) a cualquier otra (cliente) mediante una red,
permitiendo que el servidor sea utilizado de manera remota desde el cliente.
Muchas personas al
momento de leer esto por primera vez pensarían que esta capacidad es más una
“vulnerabilidad” de Windows, pero eso es como decir que una máquina de
transacciones automáticas (ATM, por sus siglas en inglés) tiene una
“vulnerabilidad” que te deja retirar dinero de tu cuenta bancaria. Es una
característica del sistema operativo y Windows no está sola cuando expone
funcionalidades como esta.
Una amenaza libre de malware y exploit
La parte interesante de este fenómeno RDP es que es
una amenaza netamente basada en acceso: no hay malware, no hay exploit
involucrados. En su núcleo, esta operación ciber criminal está basada en una
lista de cuentas comprometidas de máquinas específicas de redes específicas. No
hay sistema de detección de malware que podría detectar estas amenazas, puesto
que usan credenciales de inicio de sesión
válidas.
Éste es el ejemplo
perfecto de lo que me refiero cuando digo que los chicos malos están trabajando
productivamente y los chicos buenos no lo hacen todavía. Makost[dot]net es sólo
una de muchas corredurías del mercado negro que vende accesos a estos exploits
a cualquiera que tenga dinero. Cualquier atacante puede empezar desde cero,
pasar una tarjeta de crédito e inmediatamente pinchar un agujero a través de su
perímetro.
Como un punto
aparte, un buen lugar para que los chicos buenos comiencen a trabajar en equipo
sería en la creación de un sistema para notificar a los dueños de éstos
sistemas que los mismos han sido comprometidos, porque mientras sigan sin
saberlo, los atacantes tienen una ventana abierta a sus redes. Los atacantes,
de esta manera, podrán usar estas máquinas como trampolines para atacar a otras
organizaciones.
Lo que los sistemas de seguridad nunca consiguen
identificar, los basados en anomalías lo hacen
Si su organización usa regularmente RDP para cualquier
uso legítimo, será casi imposible identificar cuales accesos son válidos y
cuáles son ataques porque todos usan las mismas credenciales válidas, a menos
que creen y actualicen regularmente los lineamientos base de comportamiento
normal para aquellos dispositivos con capacidad RDP. No hay nada que una
herramienta de seguridad pueda detectar en este escenario excepto desviaciones de los lineamientos base.
Esta amenaza es
particularmente peligrosa en un mundo en el que las máquinas virtuales (MVs)
son incrementadas comúnmente, con frecuencia clonadas una de otra en masa. Casi
todas las MVs permiten acceso remoto al escritorio y los usuarios que los están
creando asumen, incorrectamente, que estarán corriendo en ambientes “seguros”.
Krebs sugiere hacer
un escaneo de puerto externo rápido de los rangos de la dirección de internet
de su organización para averiguar si cualquier sistema equipado con RDP está
habilitado, luego señala esto a la Universidad de California en un documento de
Berkeley para tips adicionales de bloqueo de instalaciones RDP. Este es un buen
comienzo, pero yo le agregaría que necesita la habilidad, hoy en día, para
realizar estas tres cosas:
#1 – Establecer
visibilidad de sus dispositivos.
#2 – Comenzar a correr líneas bases de comportamiento normal dentro y entre
estos dispositivos.
#3 – Desarrollar una forma para comenzar a recibir alertas regulares de
comportamiento anómalo relativo a esas líneas base.
EnCase®
Analytics puede ayudar con las tres. Por en cuanto, sitios como Makost sólo
ilustran cuán importante es para los chicos buenos el comenzar a trabajar
juntos de manera tan productiva como los chicos malos lo han estado haciendo.
¿Tiene sugerencias?
¿Historias de guerra? Agradezco sus comentarios en la sección de comentarios
más abajo.
