Todos pensábamos que se iba a resolver rápido, pero desde las 11 de la mañana del viernes todo fue a peor, porque a cada hora se estropeaba un ordenador o un servidor. De hecho, la Subdirectora Médica avisó vía telefónica a los trabajadores del Hospital para comunicarles algo que ya se sabía: que la red se había caído. ¿La causa? Pues nos dijo que era un virus, así que nos lo creímos.
El sábado, como dije, estuve trabajando, y la cosa no pudo ser peor: no pudimos acceder a las analíticas, a las historias clínicas, a Internet, a las impresoras… A media mañana vinieron 3 informáticos desde su casa para intentar arreglar el desaguisado, pero como he mencionado antes, están desbordados: eran 600 ordenadores en un Hospital pequeño como el nuestro, y se limitaron a los de uso más frecuente o a los críticos (servidores, etc).
Hoy Domingo he comprobado que sólo funcionan los servidores y los ordenadores críticos, pero gran parte siguen inutilizados. Al llegar a casa he hecho una búsqueda, y he encontrado la noticia en el Blog de APISCAM. La noticia es demasiada generosa, porque creo que las implicaciones de lo que ha pasado son varias:
- El virus es, según la Herramienta de Detección de Software Malintencionado de Microsoft, el denominado Backdoor:Win32/IRCbot.gen!k. Por lo que he encontrado aprovecha una vulnerabilidad DNS de los ordenadores con Windows basados en NT, pero no me hagáis mucho caso, porque hay muchas fuentes, y cada una dice una cosa.
- Se ha caído TODA la red del Hospital, y posiblemente TODAS las redes del resto de los Hospitales de la CAM (según los rumores, es así, pero sólo son rumores). Tengo que decir que no toda se ha caído: los sistemas que funcionan con UNIX no (¡Aúpa el HP-HIS!). Es probable que se hayan afectado otras redes corporativas de la CAM.
- Lo de “aislar las ubicaciones para evitar su propagación” es de risa. Ya se ha propagado.
- Es cierto que, de momento, no se conoce el alcance de este virus o lo que sea. No queda claro si es n worm o un trojan horse. Ya nos enteraremos.
- El trastorno a los que trabajamos allí ha sido enorme durante este fin de semana, pero lo que me asusta es si mañana lunes seguirán los problemas.
- Este “desastre” demuestra lo poco preparada que está la Sanidad Madrileña; ojo, no me quejo de los informáticos, que son poco y están saturados y hacen todo lo que pueden, sino de cómo se organiza y de los pocos medios.
Fuente: Blog RafaLinux
Entradas
5 comentarios:
Algo de culpa de este desastre la tiene Microsoft, sí, pero sólo en un sentido muy filosófico, ya que esa empresa tendió la trampa de la facilidad de uso y vistosidad gráfica a costa de la seguridad, dependencia y demás. Por ejemplo, las redes informáticas montadas sobre Microsoft "a lo fácil" introducen la confianza total entre miembros de la red, de tal forma que si en uno de ellos se ejecuta algo malicioso como administador "del dominio" la red entera (y los ficheros de todos los pcs) están directamente a su disposición de una forma directa.
En ese punto es volver al comienzo de las redes informáticas (Unix) en los 70-80 e Internet, cuando también se empezó con un modelo de confianza (rshells) que hubo que abandonar tras el primer "gusano" de aquellos años.
Posiblemente tenga algo de culpa Microsfot por haber sobrevendido su sistemas operativos de servidor cuando tenían mucho de doméstico, pero más culpa la tienen los que se han dejado "seducir" por la propia Microsoft, tomando por dogmas su parafernalia comercial y realizando instalaciones sin un cuerpo de técnicos que domine de verdadlos entresijos (porque sí es posible en cierta manera instalar redes Microsoft más seguras que lo que probablemente estén esas de Sanidad de la noticia)
pues la instalacion de la mayoria de las redes esta cada vez menos en manos de informaticos de la casas con conocimientos o que no esten en departamentos declarados a extinguir por la Consejeria al axfisiarlos en medios y reconocimiento y cada vez mas (de hecho por entero en primaria y los servicios centrales) en manos de empresas privadas cuyo interes principal es el beneficio y no tienen ningun problema en rotar constantemente a su perosnal tecnico final, temporal y sin experiencia
trabaje hace no mucho tiempo en sanidd de madrid, y si las cosas no han cambiado , y no parece por lo que se ve en este blog, se sigue entregando todo a ciegas a empresas sin quedarse con un cuerpo tecnico cada vez mas potente (mas bien al reves, por lo que leo, lo tienden a suprimir)
Los que lo entregan son directivos entregados a los consultores de empresas que se han visto en el puesto sin tener idea real en la mayoria d elo que tienen entre manos
No se hace nunca -por parte de alguien que sepa de veras- un control de minimos requisitos de seguridad (requisitos reales, no sobre el papel) a los aplicativos de empresas que se contratan que, naturalemnte, vienen con una seguridad nula y que para que funcionen piden que todo este abierto, y con privilegios administrativos.
Y claro, se acaba teniendo una red enorme de decenas de miles de puestos sin ningun cortafuegos ni filtros de seguridad por privilegios que puede estallar en cualquier momento
Por favor, señores, un poco de seriedad...
Soy profesional de la seguridad informática y el viernes estuve implicado en la desinfección del 'virus' encontrado en Sanidad y he leído muchísimos comentarios como este.
Vamos a puntualizar dos cosas:
1- Contra el malware (o virus...), a pesar de todos los esfuerzos realizados, desgraciadamente hay que ser reactivo. Los fabricantes de antivirus todavía no tenemos bolas de cristal entre nuestras herramientas y cuando salta un nuevo virus, como ha sido el caso, lo único que se puede hacer es tomar muestras, estudiar su comportamiento y tratar de hacer una rutina de desinfección con la mayor rapidez posible... si álguien sabe otra manera, por favor, que me lo explique.
2- De acuerdo que no hay prácticamente virus para Linux y que todos los informáticos preferimos este sistema operativo en lo que a seguridad se refiere... Los desarrolladores de virus ya no se mueven por aburrimiento o ganas de molestar. La creación de virus es un negocio bastante lucrativo y el objetivo es infectar la mayor cantidad de máquinas posibles. ¿Cuantas máquinas windows hay por cada máquina con cualquier otro sistema operativo? El día que se equilibre la balanza y sea rentable, tranquilos, que habrá virus de todos los colores para Linux.
3- Se puede gastar todo el dinero que se quiera en Firewalls, Routers, Switches, Appliances de todo tipo, Antivirus, etc... y blindar todo el perímetro de tu red corporativa. Qué pena que no se les pueda cortar las manos a los usuarios que conectan usb's que se traen de sus casitas y los conectan en el ordenador de la empresa...
Al del comentario anterior primero a ver si aprende a contar 1. 2. y 3. no son dos cosas sino tres.
Naturalmente era broma!
Ya que hablamos de seriedad:
1. Una cosa es la desinfección o detección de un virus por parte de un antivirus, en la que tiene razón el del comentario que es difícir hacer algo 100% fiable antes de que haya salido y otra es la de evitar su propagación por una red para la que pueden existir medidas de seguridad previas que pueden llegar a mitigar de forma importante su propagación y/o nivel de daño
2. En este caso, el virus según Panda será nuevo, no lo dudemos; de hecho no podemos más que felicitarles por seguir siendo capaces de sacar detecciones diariamente para la inmensa mayoría de virus pese a que el ritmo de salida a Internet de cosas que pretende detectar virus/malware/spyware/etc ha aumentado vertiginosamente
3. Nadie en su sano juicio puede decir que tiene configurada una red con unas medidas de seguridad que hará imposible la propagación automática futura de cualquier cosa que salga
4. En este caso, el virus utiliza, parece ser - que nos lo confirme el "profesional"- varios métodos de propagación desde un equipo yainfectado:
a) Escribir en un lapiz un fichero autorun.inf y un ejecutable que juntos en otro equipo Windows XP con el Autoplay activado provoca su ejecución e infección -si no hay antivirus en ese equipo que lo impida-. Aquí podría haberse preconfigurado los equipos para que esta característica no este disponible, pero es algo a pensarse e incómodo de realizar en una gran red
b) Aprovecharse de la vulnerabilidad de Windows descrita en el boletín de seguridad MS08-067, para la que hay parche de Microsoft desde finales del año pasado , parche que MS tuvo que sacar de urgencia debido a la existencia de "exploits remotos" públicos (es decir progamitas para aprovecharse de ese fallo y conseguir la ejecución de software arbitrario - como la instalación de un virus/malware- remota y automáticamente.
Todas las organizaciones que digan implementar políticas y medidas sistemáticas de seguridad deberían haber implantado hace mucho ese parche en aquellos equipos interconectados y con los puertos 445 de "red de Windows" sin filtrar. Filtrar el puerto 445 entero singifica quedarse sin compartidos desde ese equipo y similar que puede ser necesario
De hecho, en este caso, la vulnerabilidad provoca un desbordamiento de memoria mediante la que se consigue, a veces, meter un fichero de instalación del virus, que sería lo que detectaría el antivirus. Y muchas otras veces provoca un fallo en un ejecutable svchost.exe de Windows que afecta a algunos de sus servicios e incluso que se agoten sus búferes de red, impidiendo que ese equipo, por ejemplo, pueda ya realizar conexiones de red de Windows, ftp, telnet, etc.
Es decir que un equipo que tenga el antivirus del "profesional" pero no el parche de MS (o filtros de red adecuados) si está expuesto en su red IP a varios equipos infectados, puede quedar totalmente inútil para sus propósitos.
c) parece ser que "a la Conficker" también utiliza los compartidos administrativos que vienen en Windows de serie (C$, ADMIN$) por los que un equipo infectado con el virus ejecutándose como un cierto usuario puede meterlo en el directorio de Windows del resto de equipos en los que tenga privilegios de Administador de ese equipo
NO es lo mismo que la organización tenga la práctica de asginar a sus usuariospor ejemplo un conjunto reducido de usuarios comunes que son Administradores de Windows, y tienen lamisma contraseña o es adivinable (ésta ha sido la pral vía de propagación de Conficker en las intranets por cierto) a que la organización no asigne ningún usuario del grupo Administadores a los usuarios y que por sistema sus administradores casi nunca hagan login con un usuaro de ese grupo.
Una organización con la primera costumbre puede tener en un pispas infectados (vía C$, ADMIN$,) todos sus equipos ante un "virus" nuevo; en una organización con la segunda costumbre puede que sea imposible que tal virus se propague entre equipos de esa forma
d) Quizás este virus también va en ficheros adjuntos de correo, páginas web, etc . En este caso tiene razón el "profesional". ¿ cómo evitas que se ejecute el virus si no tiene antivirus? pero nuevamente, una vez ejecutado, ese virus puede que no salga de ese ordenador porque se hayan implementado unas políticas de seguridad en las que sencillamente el usuario no tenga privilegios para entrar en la garn mauoría de los otros o no lo pueda hacer como administrador
Es decir este virus, será nuevo, pero los métodos que utiliza para propagarse son ya "viejos" y mitigables en MUY gran medidaPor supuesto, el punto 3 del "profesional" es correcto: puedes gastarte el dinero que se quiera (gastarse dinero por sí solo en una consultora de servicios de seguridad no es garantía de nada, especialmente si se hace en una organización sin técnicos de seguridad propios honestos) y haber implementado todas las medids de seguridad que tu paranoid hackers tećnicos de seguridad se les ocurra que nunca puedes estar al 100%.
Por ejemplo, basta que Windows tenga un fallo de seguridad que alguien ya conoce en Internet y te llege en un gusano antes de que MS saque el parche (un 0-day exploit)
En los equipos servidores o con sesión de login administardor jamás se debe navegar, ni abrir correos ni meter lápices de terceros
Hombre, da gusto por fin ver algo en este blog que no sea mierda comunista antisistema
Muy interesantes los comentarios, y util el ultimo que nos da algo de luz.
Alguien sabe mas detalles? Por favor, los de la consejería , panda, mcafeee quien sea, poner anonimos, ya que la consejería no nos está dando información clara y técnica, sólo recetas en plan caja negra
Publicar un comentario