Antecedentes
Un jueves por la tarde comienza a circular por Internet un nuevo “gusano”. Éste aprovecha una vulnerabilidad de Microsoft Windows XP que había sido publicada oficialmente un par de semanas atrás y que se acompañó del correspondiente “parche”. Se conoce que el “gusano” se extiende auto enviándose por e-mail usando todas las direcciones que encuentra en el sistema infectado, además está programado para generar diferentes nombres de archivos adjuntos y sus extensiones pueden variar, al tiempo que elige entre un centenar de asuntos y cuerpos de mensaje diferentes. Cuando el “gusano” infecta un sistema realiza una escalada de privilegios hasta obtener derechos de Administrador, realizando entonces la descarga, desde diferentes direcciones IP y vía FTP, de un agente para la ejecución de ataques de denegación de servicio distribuido (DDoS). Aunque los fabricantes de software antivirus alertan inmediatamente del “gusano” su expansión ha sido muy rápida y aún no se dispone de su firma. Su organización ya ha sufrido una infección importante por la ejecución del “gusano” unas tres horas antes de que dispusiese de la firma para su antivirus y este se encuentra activo en algunos sistemas de su red.
Ante un escenario de este tipo, podríamos hacernos las siguientes preguntas:
¿Tiene su organización un equipo de respuesta a incidentes como parte de su política de seguridad?
¿Es capaz de identificar los sistemas infectados y proceder a su desconexión y recuperación?
¿Podría informar y justificar a sus empleados una anulación temporal de sus cuentas de correo electrónico para su investigación?
Si el ataque DDoS está programado para atacar al servidor Web de otra organización, por ejemplo a la mañana siguiente, ¿sería capaz de manejar una situación en la que dicha organización le pidiese responsabilidades tras detectar que el ataque se ha producido desde direcciones IP suyas?
Este tipo de situaciones no son ni mucho menos casos aislados o anecdóticos, según un estudio realizado por McAfee, compañía centrada en soluciones de prevención de intrusiones y de gestión de riesgos, revela el grado de desprotección de las organizaciones a la hora de gestionar su seguridad. Casi la mitad (el 45 por ciento) de los 600 ejecutivos TI europeos pertenecientes a compañías de más de 250 empleados encuestados durante el 2.005, afirmaron que su infraestructura informática nunca está protegida al 100 por cien frente a las vulnerabilidades.
La inclusión en la política de seguridad de procedimientos capaces de recibir, analizar y posteriormente responder a este tipo de incidentes, ya sean inminentes o en curso, se convierte en un componente indispensable de la infraestructura de los sistemas informáticos de la organización, pues los ataques a dichos sistemas no sólo ha aumentado en número sino que también lo han hecho en variedad y capacidad destructiva.
Veremos a lo largo del presente trabajo, como la aplicación de técnicas forenses al análisis de sistemas proporciona una metodología adecuada en el proceso de respuesta ante incidentes.
