17 de Septiembre, 2005

Ataque a Club Radio

El proveedor de servicios asociado a club radio (elxwifi), al igual que otros nodos de la red ciudadana de Elche Wireless, está conectado a Internet.

Ayer noche Rubén detectaba un ataque en club radio, que había llegado a penetrar instalando algunos ficheros con el usuario de Apache.

Según Rubén todo parece debido a un phpBB2 (un paquete para foros) instalado en el public_html de un usuario. Este software no fue instalado desde los paquetes que proporciona la distribución que usa Rubén, y lamentablemente no estaba al día en cuanto a correcciones.

Es un hecho que todo software tiene errores y, aunque también es cierto que hay soft con menos problemas o mejor diseñado, no existe la solución infalible al 100%.

No soy un experto en seguridad informática, pero se me ocurren algunas cosas a tener en cuenta:

  • Tener muy claro qué se instala: esto a veces es muy difícil. Cada vez la administración de sistemas es más accesible, con distribuciones que nos proporcionan herramientas automágicas, así que es muy frecuente que los administradores tengan solo una vaga idea de qué es lo que están instalando. En esos casos resulta muy difícil saber a qué atenernos :).
  • Instala solo lo que necesitas: es fácil olvidarse de algo que ya no usamos y que puede llegar a ser un punto débil en el futuro. Esto está íntimamente relacionado con el anterior consejo por dos aspectos: no podemos personalizar al 100% porque solo disponemos de lo que proporciona el distribuidor y por lo tanto se suelen instalar características de más, unido al hecho de que muchas veces no se sabe qué se instala :). Seguro que recordamos los recientes problemas con una implementación de XML-RPC, y la sorpresa de más de uno al ver cuanto soft lo usaba :o.
  • Estar al día con las correcciones: si el soft tiene fallos, las correciones nos deben llevar a un mejor producto. Ya sea migrando a versiones posteriores o aplicando parches (hay diferentes políticas según fabricante), hay que ser consciente de los problemas y, una vez valorado el riesgo, corregirlos.
  • Si algo va mal, minimizar pérdidas: la carrera de los parches es en realidad una apuesta perdida. Siempre hay un periodo de tiempo en el que se es vulnerable, aunque el Software Libre (pese a lo que les gustaría a algunos con sus patchsets ¡mensuales! -con suerte-) es especialmente bueno en esto, pudiendo estar disponible la corrección en cuestión de horas. Así que no está de más asegurar adecuadamente el entorno, siempre haciendo caso de los consejos anteriores (no sirve de nada un Apache bajo chroot si nuestro kernel tiene un fallo que permite escalar privilegios y, por lo tanto, romper la jaula). El caso de Rubén se mininimizó considerablemente al quedar el atacante atrapado con un usuario sin privilegios y sin elementos vulnerables que aprovechar para mejorar su situación.

En realidad casi todos los puntos son comprensibles desde el sentido común, así que poco más hay que comentar.

Pero como digo no soy un experto, ¿algún consejo más que añadirías?

Anotación por Juan J. Martínez, clasificada en: security.

Los comentarios están cerrados: los comentarios se cierran automáticamente una vez pasados 30 días. Si quieres comentar algo acerca de la anotación, puedes hacerlo por e-mail.

Algunas anotaciones relacionadas: