Protección contra virus y código maligno en la red corporativa del CIGB Jorge Lodos Vigil, Yossué Rodríguez Cruz*, Nelson Gamazo Sánchez* Centro de Ingeniería Genética y Biotecnología (CIGB) Ave. 31 e/ 158 y 190 PO Box 6162 Tel: +53(7)218200 Fax: +53(7)218070 E-mail: [email protected] *Los autores contribuyeron por igual a este trabajo Introducción En el CIGB existe una red corporativa de más de 500 computadoras, situadas en Ciudad de la Habana, Camaguey y Sancti Spiritus. En la provincia de Ciudad de la Habana hay tres localizaciones geográficas, el Centro de Investigaciones Biológicas (CIB), la sede de la División de Ensayos Clínicos (Casa 149) y la sede principal del CIGB. La casa 149 se conecta al CIB con una fibra óptica de aproximadamente 800 metros, y el CIB se conecta al CIGB usando líneas arrendadas a una velocidad de 128 Kbps. La filial de Sancti Spiritus utiliza solamente servicios de conexión X.28, mientras que con la filial de Camaguey se está introduciendo una conexión punto a punto usando frame relay. Para poder utilizar de forma óptima los recursos de cómputo instalados, es imprescindible que en las máquinas cliente se encuentren instalados los programas correctos, con configuraciones adecuadas y versiones compatibles con la plataforma de hardware en que corren. En el CIGB, donde la inmensa mayoría de los usuarios no están familiarizados con la instalación y mantenimiento de programas y sistemas operativos, esto es un reto importante. Por otro lado, se necesita una herramienta que permita a los administradores de red conocer los programas instalados en las máquinas de los usuarios, en otras palabras, que permitiera mantener un inventario de software y hardware. La herramienta que decidimos utilizar en el CIGB fue el System Management Server (SMS) de Microsoft, en su versión 2.0. El SMS fue instalado en la red del CIGB en octubre de 1999. Con el desarrollo de las comunicaciones existente, es imposible evitar la presencia de código maligno en la red corporativa del CIGB. Las vías de aparición de virus, caballos de Troya, gusanos, etc. son varias: correo electrónico, documentos importados del exterior del CIGB en soporte magnético y programas malignos ejecutados a través de Internet con protocolo http u otros protocolos. Todas las vías de introducción de código maligno no pueden considerarse conocidas a priori. Ante esta realidad, la red corporativa debe estar preparada para eliminar cualquier código maligno evitando o disminuyendo al mínimo su efecto, y registrando la mayor cantidad de información que permita de forma centralizada identificar el origen de las amenazas y reaccionar de forma correcta ante ellas. No menos importante es evitar que nuestra red corporativa pueda ser usada conciente o inconscientemente para distribuir código maligno a usuarios o instituciones fuera de la nuestra. Los diferentes tipos de código maligno pueden ser identificados y neutralizados tanto en los servidores como en las máquinas cliente. La defensa contra código maligno debe ser escalonada o “en profundidad”, o sea, que haya varios niveles redundantes de protección entre el destinatario final y los posibles puntos de entrada del código maligno. De esta forma si algún código maligno explota exitosamente alguna vulnerabilidad en un punto, puede ser detenido todavía antes de causar daño. Por ejemplo, si hablamos de un virus macro introducido en un floppy, este podría ser neutralizado en el momento mismo de ser copiado, al ser enviado por correo, al ser recibido por cada uno de los servidores de correo que participen en la cadena, al ser recibido por correo por el destinatario final y por último al tratar de copiarse en el disco del cliente al que se destina el virus. En el CIGB hemos identificado tres vías de acceso de código maligno: 1. Las máquinas de los usuarios a través de soportes magnéticos u ópticos. 2. El correo electrónico interno y externo 3. Ejecución de programas obtenidos por diferentes vías desde Internet. Protección de las máquinas de los usuarios En todos los casos, la forma de combatirlo es usando alguno de los llamados programas antivirus, aunque en realidad estos programas son mucho más que “antivirus”. La política de protección contra código maligno en una red corporativa determina los programas antivirus que deben ser usados, donde serán usados, como serán actualizados y como serán instalados y desinstalados. En el CIGB, los programas antivirus deben poder ser actualizados automáticamente sin interrupciones para los usuarios, los administradores y personal de seguridad informática deben poder evaluar de forma remota la actualización y el estado de las máquinas cliente, y por último, dado el volumen de intercambio de información con el extranjero en prácticamente todas las estaciones, es imprescindible que las actualizaciones de los programas antivirus estén disponibles rápidamente después de aparecidos nuevos virus. Para proteger directamente las computadoras de los usuarios, en el CIGB se usan varios programas antivirus, comercializados por la compañía Symantec. El Norton Antivirus 7.x en las máquinas que pueden ejecutarlo de acuerdo a los requerimientos de este programa y el Norton Antivirus 4.0 en las máquinas menos potentes. Las versiones 7.x del Norton Antivirus son corporativas. Vienen preparadas para mantener actualizadas automáticamente todas las estaciones de la red a partir de uno o varios servidores internos y permite a los administradores monitorear el estado del proceso de eliminación del código maligno y la aparición de nuevos virus desconocidos y detectados por métodos heurísticos. El sistema viene preparado para enviar esta información a Symantec inmediatamente y el virus será detectado y eliminado en la próxima actualización. En el CIGB hemos pasado por este proceso en dos ocasiones, con virus cubanos que fueron detectados pero no eliminados. Otra característica importante de estas versiones es que son capaces de analizar el correo electrónico antes de que este pueda ser accedido por el usuario, garantizando la protección no solo del sistema de ficheros sino también de vulnerabilidades de los programas de mensajería electrónica. Hay un número importante de máquinas que todavía deben trabajar con la versión 4 del Norton Antivirus. La instalación de esta versión preparada para la red corporativa del CIGB configura las máquinas clientes para actualizarse diariamente utilizando un servidor interno con el mecanismo de Liveupdate, desarrollado por Symantec. Como consecuencia, todas las computadoras del CIGB que tienen instalado el Norton Antivirus en cualquiera de sus versiones mantienen siempre las versiones actualizadas de las tablas de código maligno, y esto ocurre de forma automática y transparente para los usuarios en toda la red corporativa. Un ejemplo que ayuda a comprender la importancia de esta situación es lo ocurrido con el virus W95.MTX (de acuerdo a la nomenclatura de Symantec), cuya aparición en Cuba fue reportada en octubre del 2000 en nuestra prensa. La protección contra este virus apareció en la actualización del 5 de septiembre del 2000 distribuida por Symantec, y consecuentemente desde esa fecha fue instalada en la mayoría de las máquinas del CIGB. Cuando supimos por la prensa de la aparición de este virus en Cuba, revisamos nuestros registros, y en septiembre 17, este virus fue exitosamente eliminado de un correo electrónico recibido por uno de nuestros compañeros. El remitente era legítimo y fue informado automáticamente por el programa antivirus de que estaba infectado. Solamente en las máquinas que tienen la versión corporativa del Norton Antivirus son eliminados entre 10 y 20 virus u otros códigos malignos diariamente como promedio. Las instalaciones de todos los programas antivirus en los clientes se hace de forma automática, con un solo click, el antivirus adecuado de acuerdo a los recursos de la máquina es instalado y configurado sin intervención del usuario. Estos no tienen tampoco la preocupación de actualizarlos constantemente, aunque si la de comprobar que está actualizado y en caso contrario reportarlo a su responsable de seguridad informática. El SMS es el responsable de garantizar el proceso de instalación y mantenimiento de los programas antivirus en las máquinas cliente. Si bien el mantenimiento de estas medidas de protección contra códigos malignos es imprescindible, esta situación implica un costo. Ninguno de los antivirus usados es perfecto, todos tienen desventajas, a la par de las ventajas que hacen imprescindible su uso. Las versiones del Norton Antivirus consumen una cantidad importante de recursos en las computadoras. En muchas ocasiones estas se hacen más lentas después de su instalación. Otros productos tienen otras desventajas, por ejemplo ausencia de capacidades corporativas, poca cantidad de código maligno que es capaz de detectar y eliminar, que han hecho imposible usarlos como herramientas en la red corporativa del CIGB. Correo electrónico En la actualidad, prácticamente todos los programas malignos utilizan el correo electrónico como una de sus vías de distribución. Aunque los usuarios de versiones corporativas del Norton Antivirus en el CIGB ya tienen protección contra código maligno en el correo, esto no es suficiente. No solo la protección de la mensajería no alcanza a todos los usuarios (aunque el código maligno si se detecte al pasar el mensaje al sistema de ficheros en todos los casos) sino que existiría un solo novel de protección que en determinadas circunstancias podría ser burlado. La solución es implementar controles antivirus en los servidores de correo electrónico. Estos pueden ser clasificados a los efectos de prevención contra código maligno en servidores relay que permiten el paso de mensajes de un sistema a otro, y servidores donde se almacenan los buzones de los usuarios, o sea, que contienen gran cantidad de información almacenada y susceptible de contener código maligno. Para proteger el primer tipo de servidores se necesita un programa que analice los mensajes en la medida en que entran y salen del servidor, en el segundo caso el programa debe adicionalmente comprobar la información mantenida por los usuarios. Aunque esto último pudiera parecer a primera vista innecesario, hay 2 situaciones en que esta comprobación demuestra su eficacia: cuando una nueva actualización hace que código maligno que pasó impunemente pueda ahora ser detectado en los buzones y cuando la información llegó a los buzones de forma “no estándar”, como ocurre en sistemas de trabajo en grupo complejos como Microsoft Exchange o Lotus Notes con calendarios, diarios, carpetas públicas etc. Los programas antivirus para servidores de correo deben también poder ser actualizados automáticamente y tener actualizaciones de los programas antivirus estén disponibles rápidamente después de aparecidos nuevos virus, pero también es muy importante la generación de reportes que permitan identificar ataques informáticos, fuentes de código maligno, usuarios “conflictivos” y que brinden estadísticas sobre el código maligno detectado. En el CIGB existe un servidor de correo en Internet, responsable de recibir y enviar toda la mensajería de la institución. Este actúa como relay a un servidor interno, donde se encuentra la primera barrera de protección. Como aquí no se almacenan buzones para los usuarios, se utiliza un programa que analiza solamente los mensajes que entran o salen, el Norton Antivirus for Gateways. Es aquí donde se detecta la mayor parte del código maligno en el CIGB, en más de 100 mensajes semanales. Entre los más repetidos se encuentran el Magistr, el Sircam, y otros. Como sistema de trabajo en grupo, que incluye mensajería electrónica, en el CIGB se utiliza el Microsoft Exchange. Aquí se encuentra otra barrera de protección, el Norton Antivirus for Exchange. Aquí se detecta un número bastante menor de código maligno, normalmente causado por usuarios que se las arreglan para enviar (por ejemplo, utilizando interface WWW para mensajería) ficheros infectados con virus macros como attachments. La importancia de tener esta doble barrera se puso de manifiesto ante la aparición del virus Sircam, por una vulnerabilidad del programa corriendo en el servidor que hacía de relay, en él no se detectaba este virus, que hubiera llegado a las máquinas de los usuarios de no haber sido eliminado en el servidor de trabajo en grupo. En todos los casos ante la detección de un virus una advertencia con información sobre el virus detectado es enviada a la dirección de origen del mensaje, si por alguna razón el mensaje no puede ser desinfectado, entonces no se envía y se pone en cuarentena. La actualización de estos programas se efectúa también con el mecanismo Liveupdate de Symantec. Acceso a Internet En el CIGB, el acceso a Internet está limitado para los usuarios a los protocolos http y ftp. Los protocolos que permiten compartir ficheros arbitrariamente como ICQ, Gnutella, hotline, etc. no están permitidos. Aunque esta situación disminuye los riesgos de introducción de códigos malignos, y al mismo tiempo la introducción involuntaria de los mismos con http o ftp es mucho menos probable que con correo electrónico, la amenaza está presente y los riesgos deben ser minimizados. Por ejemplo, en el CIGB no se consideró deseable deshabilitar a nivel de servidor servicios de Internet como la ejecución de applets y controles active X, que cada día son mas usados por sitios de frecuente acceso en nuestra institución. Los programas de protección diseñados para servidores que pudimos evaluar presentaron problemas, fundamentalmente incompatibilidades con servicios existentes, que desaconsejaron su uso en el CIGB. En consecuencia, todo el esfuerzo de protección contra código maligno en la red del CIGB se realiza en las máquinas cliente. Esto no es el resultado de una política, sino la consecuencia de no haber encontrado programas de protección para los servidores que resuelvan una mayor cantidad de problemas que los que provocan. Es una situación que se encuentra en constante evaluación. La protección en las máquinas clientes se garantiza de dos formas, con programas antivirus actualizados constantemente ya vistos y con una correcta configuración del Internet Explorer, navegador autorizado en el CIGB. La configuración del Internet Explorer debe garantizar que no se ejecuten controles active X u otras aplicaciones potencialmente malignas desde Internet y si desde la Intranet. Para lograr esta configuración se utilizan los mecanismos de políticas implementadas en Windows 2000 e instalaciones del navegador preparadas para la red del CIGB que quedan configuradas de acuerdo a lo anterior. En este caso la protección contra código maligno, aunque ocurre en 2 niveles (navegador y programa antivirus) solo se lleva a cabo en la máquina del usuario. Esto es un riesgo a la seguridad en general, que debe ser eliminado instalando programas adecuados en los servidores. Actualización de los programas Antivirus En el CIGB la actualización de todos los programas antivirus, incluyendo aquellos que corren en servidores, ocurre de forma automática. Los clientes con versiones corporativas utilizan un mecanismo que copia las actualizaciones usando la red y protocolos de transferencia de ficheros, sin embargo el resto de los clientes y los programas en servidores utilizan el mecanismo Liveupdate desarrollado por Symantec. De acuerdo a esta forma de actualización, los programas se conectan a un servidor mantenido por Symantec y disponible en Internet que permite descargar las actualizaciones. Como no tiene sentido que más de 100 programas clientes consuman ancho de banda para descargar lo mismo desde Internet, se configuró un servidor interno con Liveupdate en la red del CIGB. De esta forma la actualización desde Internet se hace una sola vez, en el servidor interno de Liveupdate, y a partir de éste se actualizan los clientes. Esta actualización en el CIGB se hace diariamente en el horario de la madrugada, si aparece alguna alarma de actividad especial de virus o ataques peligrosos reportados, entonces se comprueba la aparición de nuevas actualizaciones cada media hora y se fuerza la descarga manual si fuera necesario. Así se hizo por ejemplo ante la aparición del peligroso Nimda, aunque en realidad el CIGB no fue atacado por éste por la vía del correo electrónico hasta bastante después de su aparición. Seguridad informática Tener programas de detección de código maligno actualizado y presente en prácticamente todas las máquinas de la red es necesario, pero no es suficiente. A pesar de los algoritmos heurísticos, de las actualizaciones constantes y los registros y alarmas generados centralmente, siempre es posible enfrentar una infección a gran escala. Para estos casos es necesario estar preparados y saber como reaccionar de antemano. En el CIGB existe una política de seguridad informática de toda la institución, que establece entre otras cosas la necesidad de tener un responsable de seguridad informática por cada área. Estos responsables son personas de confianza, motivadas, que les gusta el trabajo de informática y que poseen conocimientos de seguridad informática. Este grupo de compañeros es el responsable que todas las máquinas de su área tengan actualizados los antivirus, en caso de que algún usuario no tenga el cliente del SMS instalado, o que haya problemas en la comunicación con los servidores de actualización. También son responsables de desinfectar las máquinas de su área manualmente si fuera necesario, de acuerdo a procedimientos discutidos de antemano en alguno de nuestros foros de discusión y que son aplicados de forma uniforme en todo el CIGB. La acción positiva de este grupo se puso de manifiesto ante la infección masiva sufrida con el virus “I love you”, en un momento en que todavía no existía protección centralizada. El primer mensaje fue leído (y la máquina consecuentemente infectada) a las 5 de la madrugada, por un programa automático instalado por un usuario que clasificaba los mensajes de acuerdo a su contenido. A las 9 AM, después de que masivamente los usuarios leyeran sus correos, se reportaron 32 máquinas infectadas, con el virus detectado por métodos heurísticos, y otro número menor de máquinas que no tenían este método activado o tenían otro antivirus. Prácticamente todos los usuarios del CIGB recibieron al menos un mensaje infectado. Usando la lista de distribución como forma de comunicación, la herramienta de control remoto del SMS y la ayuda de los responsables de seguridad informática de cada área, el virus (para el cual todavía no existía antivirus que lo desinfectara!) fue completamente eliminado antes de las 12 del día. Otra función importante que cumplen los responsables de seguridad informática es la preparación de los usuarios, aumentando su cultura tanto en el uso correcto de las herramientas informáticas para prevenir infecciones de códigos malignos, como en el uso de las herramientas de protección existentes en el CIGB y en la aplicación de las políticas de seguridad informática. La necesidad de esta preparación se puso de manifiesto recientemente con el hoax Sulfbnk, mensaje que pedía a los usuarios borrar un fichero de su disco comunicándoles que era un virus. En el CIGB algunos usuarios siguieron el “consejo”, demostrando que todavía es insuficiente la cultura de seguridad informática. Conclusiones En la red corporativa del CIGB no se han sufrido daños importantes debido a la acción de códigos malignos. A esto ha contribuido la aplicación de las medidas técnicas y administrativas expuestas anteriormente, que a pesar de su eficacia demostrada se encuentran en constante análisis y pueden ser mejoradas. La implementación de esta solución tiene un costo importante en recursos: necesita servidores con el SMS, con los programas centralizados de administración de Symantec, conexión a Internet con ancho de banda suficiente para bajar cerca de 25Mb diarios de forma continua, y muchas veces resultan molestos para los usuarios. Las política de protección contra virus y las soluciones técnicas para implementarlas deben ser analizadas en cada caso concreto, no pueden ser copiadas o directamente trasladadas de una institución a otra.