Ataque al Big Data: reportaje a Santiago Pontiroli, analista de seguridad, Kaspersky Lab

El nuevo objetivo de ataque de los cibercriminales parece encontrar eco en los servidores de bases de datos, explotando las vulnerabilidades de sistemas mal configurados, que dejan expuesto el costado mas negro del big data.

El analista de seguridad, Santiago Pontiroli del Kaspersky Lab, nos ilustra sobre las nuevas tendencias que demuestran los cibercriminales para organizar un ataque de ransomware.

  1. Veo un cambio sustantivo en el Ransomware, ¿es tendencial el cambio de objetivos del Ransomware hacia las bases de datos?

Durante el año 2016 vimos más de 62 nuevas familias de ransomware[1], triplicando la cantidad de ataques que han sufrido las pequeñas y medianas empresas. Esto no quiere decir que los criminales se hayan olvidado de los usuarios hogareños sino que finalmente se han percatado de un detalle no menor, las empresas manejan grandes volúmenes de información, poseen bases de datos que tienen valor incalculable y no se pueden dar el lujo de perderlas ni por un momento. La tendencia se venía volcando hacia ataques de ransomware dirigidos, comenzando por hospitales e inclusive, departamentos de policía. Hemos comenzado este 2017 con ataques a bases enfocados en servidores de bases de datos, aumentando en cantidad día a día.

  1. El valor de Big Data para las compañías es cada día más importante ¿Qué impacto tienen los ataques que comienzan a verse a Apache Hadoop y Apache Spark?

Todo tipo de servicio que interactúe con Big Data de alguna forma y sea vulnerable, ya sea por una mala configuración o por fallas intrínsecas del sistema, es un blanco potencial para esta nueva ola de ataque ransomware. Sistemas de archivos distribuidos, motores de procesamiento para Big Data, y servidores de bases de datos van cobrando mayor importancia para cualquier tipo de negocio y es por esto que son atacados de forma masiva.

  1. La fragilidad de la protección de bases de datos como MongoDB, ElasticSearch y CouchDB ¿es parte de una nueva estrategia de ataque?

Inclusive, antes de esta nueva estrategia de ataque adoptada por los criminales, MongoDB por ejemplo, ya tenía una guía sobre configuración segura del servicio. Si bien no incluía la palabra “ransomware”, una guía de este estilo bien implementada podría haber ahorrado muchos problemas a varias empresas que confiaron toda su información a estas bases de datos sin preocuparse por revisar las buenas prácticas de uso. No sería extraño que un futuro se aprovechen vulnerabilidades de cada motor, para obtener acceso no autorizado; inclusive, habiendo implementado la configuración correcta.

  1. Cualquier sistema que sea públicamente visible y potencialmente esté mal configurado, ¿es un objetivo?

Es correcto, y según dos investigadores de seguridad[2] monitoreando estos ataques, la cifra en el caso de MongoDB alcanza más del 50% de todos los servidores visibles desde Internet. Luego de MongoDB, no pasaron más de unos pocos días antes de que los criminales tuvieran por objetivo ElasticSearch, y así han ido evolucionando lentamente. El cibercrimen no es algo estático, se adapta, y tiene la ventaja de dar el primer golpe, contando con ese tiempo de respuesta para planear su próxima víctima.

  1. ¿Existe un grado elevado de imprudencia en las organizaciones, con respecto a la protección de sus bases de datos?

Imprudencia es el adjetivo correcto para este caso, ya que se conoce el valor de esta información almacenada, y si bien no sea por ransomware, cualquier otro incidente de seguridad podría haber desencadenado este resultado. El ransomware puso en evidencia de forma masiva este problema. Es cuestión de ver si el mensaje ha sido escuchado y los afectados tomaran acciones, no solo de contingencia, sino mirando hacia el futuro, de prevención[3].

  1. ¿Cómo se genera conciencia para que las compañías comiencen a implementar una estrategia de “defense in depth”? 

El problema de generar conciencia en materia de seguridad informática pareciera estar cambiando de eje; se mantiene y acepta que el usuario final es el responsable último de la configuración y mantenimiento de un sistema, pero de igual forma los proveedores están forzando a adoptar nuevas configuraciones y prácticas al implementar medidas más restrictivas por defecto. El proceso es lento, claro, pero ya ha comenzado. El problema tiene muchas facetas y el ransomware lo que ha hecho es poner en evidencia varios de los malestares que estaban latentes en la industria.

 

[1] Kaspersky Security Bulletin 2016. The ransomware revolution, https://securelist.com/analysis/kaspersky-security-bulletin/76757/kaspersky-security-bulletin-2016-story-of-the-year/

[2] MongoDB ransacking, https://docs.google.com/spreadsheets/d/1QonE9oeMOQHVh8heFIyeqrjfKEViL0poLnY8mAakKhM/edit#gid=1781677175

[3] How to mitigate 85% of threats with only four strategies, https://securelist.com/blog/software/69887/how-to-mitigate-85-of-threats-with-only-four-strategies/