Resumiendo mucho la charla, las estrategias de mitigación empiezan por tener las herramientas adecuadas para hacer el trabajo que se tenga entre manos antes del ataque, y en general en Internet eso implica casi lo mismo si se trata de una BBS casera o de un ISP grande:
- Tener las herramientas adecuadas para dar el servicio, lo cual incluye tener servidores, firewalls y conexiones adecuadas para el servicio que se quiere dar (es decir, un modem ADSL de 30€ probablemente no sirva para el trabajo, incluso si tiene OpenWRT.
- Tener la gente adecuada para el servicio, incorporarlos gradualmente de modo que se les pueda llegar a conocer, que sean fiables, y que sean el número adecuado (ni muchos ni pocos).
- Hay que monitorizar, tener herramientas que vigile, graben y avisen cuando hay problemas de modo automatizado.
- Tener el soporte adecuado de los proveedores: el operador, los fabricantes de los equipos. Y ponerles a prueba, preguntarles qué van a hacer en caso de problemas y qué tiempos de resolución se pueden esperar. Y pensar en la recuperación de desastres.
Aguantar el ataque
Esto en general implica mitigar el ataque en lo posible, monitorizarlo para saber cuándo se acaba y en general poner las medidas de defensa adecuadas para que el servicio siga funcionando. En este punto hay que tener en cuanta algunos matices:
- Al igual que en muchos casos, conviene no ofrecer tratos a los atacantes. En su experiencia esto nunca funciona, ya que los atacantes no son capaces de respetar los pactos, ni siquiera entre sí.
- Adaptar la respuesta defensiva al ataque, sin usar todas las posibilidades de defensa al principio. De este modo, se entra en una escalada de conflicto que cansa también al atacante y le hace pensar que atacar es mas difícil de lo que pensaba.
- Hay que tener en cuenta que a veces puede ser interesante tener piezas sacrificables ("low hanging fruit"). Un servidor fácil de tirar pero que no es crítico para el servicio puede permitir al atacante sentirse vencedor sin afectar al servicio, siempre que el crea que no es así.
Esto implica que se tienen o activan los sistemas de monitorización y registro (de acuerdo con la política de privacidad que se tenga, o que hay que tener publicada), como tcpdump (pero hay que tener cuidado en la máquina en la que se hace que tenga cpu y disco duro suficiente).
Aunque reportarlo significa ponerlo en conocimiento del gobierno, agencia gubernamental o cuerpo de policía correspondiente, en general también se puede reportar también a la comunidad apropiada o los investigadores de seguridad que trabajen en ese campo (puso como ejemplo a shadowservers.org e infragard.org).
Ser proctivo
En este caso se refiere a atacar a los atacantes. Esto quizá es más fácil de decir si eres parte de 2600.net que por parte de otros, y mucho más asequible si los atacantes son simplemente aficionados o "script kiddies". Se comentan varias técnicas clásicas a utilizar:
- Ingeniería social: casi todos los aficionados caerán ante su deseo de presumir del ataque conseguido.
- Conocer sus métodos, y usarlos en su contra. Esto en general puede llegar a implicar aplicar ingeniería inversa a su botcode
- Difundir los eventos, de modo que otros sepan lo que pasa (esto en general era el objetivo de la charla)
Entradas
No hay comentarios:
Publicar un comentario