Lima, 17 de mayo del 2013.— En las últimas semanas, los medios especializados en IT, han venido publicando informes acerca de una seria vulnerabilidad backdoor detectada en los entornos Apache Hadoop®!, en los cuales corren casi el 70% de los sitios corporativos del mundo. En esta entrevista a Dante Passalacqua, Vicepresidente de Level 3, nos comenta las acciones que está tomando Level3 ante este ataque
IT/USERS: Sr. Passalacqua, ¿qué nos puede comentar acerca de las recientes vulnerabilidades a nivel de backdoor en servidores Apache?
D.P.: En primer lugar, hay que hacer lo que llamamos un Assestment, tenemos que ver cuál es el alcance y el nivel de exposición ante este nuevo tipo de vulnerabilidad. Por la información que tenemos, pues este asunto se está manejando de manera muy reservada, se sabe que hasta el momento existen formas muy sofisticadas de manejar el servidor. Según los cálculos que tenemos, más del 70% de los websites del mundo corren en Apache o en versiones derivadas de esa plataforma.
IT/USERS: ¿De qué grado de sofisticación estamos hablando?
D.P.: Hay que ver primero qué versiones son las afectadas, normalmente en estos casos no son todas, hay que analizar cuál es el impacto, la gente que ha descubierto esto habla que efectivamente existe un exploit que puede tomar control remoto sobre el site y modificarlo de tal manera que pueda instalar malware o spyware, en los usuarios que legítimamente están accediendo al sitio que ha sido atacado. Lo que hace más complejo aún este riesgo, es la modalidad por la cual que se usa este exploit, que no es fácil de detectar a primera vista, requiere de un análisis de un tipo más sofisticado. Sin entrar a mucho detalle técnico, lo que han hecho es alterar parte del proceso del servidor en sí, pero de una manera que deja muy poca huella, no deja footprints que uno pueda analizar.
IT/USERS: ¿Y cómo se va enfrentar esta situación?
D.P.: Bueno, lo que se tiene que hacer en estos casos, es que cada empresa debe tomar medidas de acuerdo a su nivel de riesgo. Una de ellas, es que la gente de Apache ya está trabajando en esto y lo más probable es que vayan a sacar un release, que pueda bloquear esto muy rápidamente y esta es una de las cosas que yo siempre he elogiado de la comunidad Open Source y es el tiempo de respuesta que supera largamente, el de casi la gran mayoría de las corporaciones.
IT/USERS: ¿Es un Backdoor?
D.P.: Sí, es una de las modalidades más complejas, porque básicamente significa que el atacante, el hacker puede tomar prácticamente el control del servidor, sobre el cual está operando esta versión vulnerable de Apache y a través de ese control manipular a los clientes, para que reciban contenido que está específicamente empeñado para instalar en las PCs de estos usuarios Spyware, el riesgo es alto. Este es un caso que se categoriza de nivel de riesgo muy alto, porque puede tener un nivel de expansión muy rápido.
IT/USERS: ¿Cómo así puede expandirse, se supone que atacan Centros de Datos específicos?
D.P.: Lo que pasa es que hay que entender que Apache, es el líder indiscutible de servidores web en el mundo. Lo que no hay es una precisión, por lo menos hasta ahora, es qué versiones de Apache son vulnerables, porque a veces depende mucho de cómo ha sido configurado, no hay en este momento un disclousure que nos permita por lo menos hacer un análisis y es natural porque los que detectaron este backdoor, lo están haciendo según sus usos y costumbres. No se puede callar, pero tampoco gritarlo a los 4 vientos, porque estás incitando sin querer, a que la vulnerabilidad se expanda. Seguramente que ellos oportunamente, han comunicado al equipo oficial de Apache, para que puedan trabajar en la solución del asunto y salir con un parche lo antes posible.
IT/USERS: Sobre el particular ¿qué acciones está tomando Level 3?
D.P.: Nuestro SOC (Security Operation Center), que tenemos en Lima desde el año 2005, pioneros a nivel de Latinoamérica, tienen el encargo de monitorear la seguridad de múltiples compañías. Level 3 tiene como parte importante de su portafolio el Managed Security, la seguridad administrada, somos canales directos de las principales fuentes de información desde donde se obtienen las nuevas vulnerabilidades, en este momento la recomendación es simplemente hacia nuestros usuarios, que se mantengan informados y que estén muy vigilantes de cualquier cambio que perciban en sus servidores, hay herramientas que se pueden usar para mitigar y esto hay que tratarlo, caso por caso.
IT/USERS: ¿Caso por caso?
D.P.: Sí, no es algo que se pueda hacer masivamente, la dificultad que presenta esto es que, solamente aquellos clientes que tengan un sistema muy sofisticado de IDPs, (Intrusion Detection Protection), tienen la posibilidad de por lo menos contar con señales de advertencia de que hay algo ahí. Este ataque, como muchos, se basa en enviarle al servidor Apache, paquetes de comunicación o requerimientos (request), intencionalmente mal formados, de tal manera que causan un problema en el servidor http, detectar este tipo de tráfico, porque viene como lo llamamos “ofuscado” de manera escondida, en medio de otro tipo de tráfico, no es sencillo, no es una cuestión inmediata, no es como en otros casos que uno dice “puedo bloquear un puerto de acceso a mi servidor” y listo, se acabó el problema.
IT/USERS: ¿Es como una especie de mutación?
D.P.: Utiliza sí un estándar, probablemente la más común de ellas, un buffer overflow, no tengo el detalle, la mayoría de los Backdoors se basan en esto, tratan de contar un punto vulnerable, que un programa está esperando una determinada data en un cierto tipo de formato, le mandas cantidad de data en otros formatos, cantidades excesivas y causas un problema del lado del servidor y te permite abrir la brecha de seguridad, tomar el control y modificar información sensible.
IT/USERS: ¿Recomendaciones?
D.P.: En primer lugar hay que monitorear la situación, no hay que entrar en pánico, no es ni será la última amenaza. Este ataque es sin embargo fuera del estándar y no es algo que se pueda pasar por alto. Hay que estar muy vigilante de cualquier actividad sospechosa en los servidores, para esto, las empresas que cuenten con Seguridad Administrada, pueden llegar a tener una alerta temprana, nuestro SOC no es una garantía que se pueda detectar esto, por el tipo tan sofisticado del ataque, pero si es muy probable por el tipo de herramientas que nosotros tenemos en el SOC, darles por lo menos un nivel de advertencia temprana.
IT/USERS: Dada la magnitud e importancia de este ataque ¿podríamos decir que es algo inusual?
D.P.: Todavía no contamos con estadísticas, de sitios ya realmente atacados con este tipo de variante de exploit. Lo que hasta ahora sabemos, es que el exploit existe, en un posible target muy grande, no tenemos detalles de qué versiones son vulnerables y no podemos precisar más el tipo de target y en este momento, por lo que se sabe, algunas de las principales herramientas para bloquear este tipo de tráfico, podrían no ser tan eficientes, por la forma como se ha diseñado el exploit, la sofistificación de su diseño, la forma de cómo puede enviar estos request, dañar y alterar el servidor http que es el corazón del servidor Apache, es bastante alto.
Entonces dependerá mucho de las reglas y del tipo de software de IDP, una de las cosas que suelen ocurrir en estos casos, si bien no podemos confirmarlo oficialmente, según los usos y costumbres, y nosotros lo hacemos en Level 3, que es cuando se detectan este tipo de amenazas, nosotros tenemos contratos con fabricantes que son especialistas en sistemas de IDP, para detección temprana, lo que hacemos es trabajar muy coordinadamente con ellos para analizar tráfico, brindarles muestras de tráfico, para que ellos puedan actualizar sus reglas de detección. Muy parecido a lo que ocurre con los virus, que se detectan cuando se descubren los ejecutables, extraes esa información, se las envías a los fabricantes de antivirus, ellos la analizan y reacciones.
Acerca de Dante Passalacqua
El Sr. Passalacqua es Ingeniero Industrial egresado de la Universidad de Lima. Ingeniero Certificado en Seguridad de Checkpoint CCSE y de Microsoft MSCE. Cuenta con estudios de Postgrado en Marketing de la Universidad ESAN. Tiene 29 años de experiencia en la Industria IT, los 21 últimos años en Telecomunicaciones, habiéndose desempeñado en diferentes puestos en empresas de primera línea. Actualmente es Vice Presidente de Level 3 Perú.
Acerca de Level 3
Level 3 Communications, Inc. (NYSE: LVLT) provee servicios de comunicaciones a nivel local, nacional y global para clientes empresariales, gubernamentales y mayoristas. El portfolio integral de soluciones gerenciadas y seguras de Level 3 incluye soluciones de fibra y de infraestructura; comunicaciones de datos y voz basadas en IP; servicios de Ethernet de área amplia; distribución de video y de contenidos; soluciones de data center y de servicios en nube. Level 3 presta servicios a clientes de más de 500 mercados en 55 países a través de una plataforma global de servicios apuntalada por redes de fibras propias en tres continentes y conectadas por extensas instalaciones submarinas. Para obtener más información por favor visite www.level3.com.