Llevamos tres días jugando al ratón y al gato con nuestro amigo Vicente y empezamos a cansarnos del tema, pero no nos queda otra que seguir…
DIA 4 (y sucesivos)
A la misma hora de todos los días (aproximada, claro) estamos ya mirando la consola de eventos y los móviles, esperando a Vicente una noche más… Pero hoy Vicente ha desaparecido, tras tres días jugando con nosotros; durante unas jornadas estamos especialmente alerta a cualquier cosa que se salga de la normalidad en ACME, pero nada. Como si se lo hubiera tragado la tierra; los ataques de Acunetix no obtuvieron ningún resultado significativo, no hay más actividad anómala en el entorno -al menos similar a la generada por nuestro amigo- y parece haberse perdido todo el interés de Vicentín en ACME… ¿Que habrá pasado? ¿Habrá encontrado un ACME2? Ni idea por el momento, pero el caso es que ya no molesta, al menos a primera vista… Unos días después revisamos otra vez el entorno de ACME y no encontramos nada relevante, por lo que desactivamos el GIR y olvidamos el tema. ¿Fin de la historia? No :)
FIN DE LA HISTORIA
Aproximadamente un mes después de la fiesta nos llaman del CNP; la denuncia que en su día hicimos sigue su curso y el Oficial que está llevando el tema quería aclarar algunas dudas… Sinceramente, ni me acordaba del tema, pero es de agradecer el interés mostrado en este caso por el CNP y el excelente trabajo que hicieron. Resuelvo las dudas y a otra cosa…
Algo menos de tres meses después del incidente, el Oficial vuelve a llamarme: lo tienen. Han cogido al tipo. OPERATOR les ha dado la información, previa orden judicial, de quién estaba detrás de todas las direcciones identificadas y -oh, sorpresa- era la misma persona: Vicentín; han mandado a dos policías a su casa, lo han trincado y el chaval ha cantado hasta el último detalle… La verdad, un pobre diablo al que han pillado; como me dijo hace años un amigo de la Guardia Civil, pillamos a los más tontos, y de los más tontos a los que llevan un mes en esto… En fin, sin comentarios sobre el pardillo, ya se apañará; da incluso algo de pena, pero nos hizo perder muchas horas y sobre todo nos hizo pasar algún rato de preocupación. No detallaremos cómo fue el tema judicial para no generar morbo que no aporta nada, pero el caso es que al chaval lo pillaron con todo el equipo :)
LECCIONES APRENDIDAS
Como todo incidente, tenemos que aprender algo de la situación que vivimos en ACME; sin duda, para nosotros, lo más grave es la sensación de indefensión que sufrimos, tanto el cliente como nosotros mismos… Un atacante está analizando la seguridad de la infraestructura de un cliente -o la tuya propia- y lo más que puedes hacer oficialmente es bloquear la IP. Cojonudo, perdonen la expresión. Como si un tío está intentando forzar la puerta de tu casa y lo más que puedes hacer es cerrarla bien… Luego se nos llena la boca hablando de convergencia, de 112 digital y de cosas así. Mentira. Si alguien intenta entrar físicamente en mi casa llamo al 062 y tengo a una pareja de la Guardia Civil en la puerta; si intenta entrar virtualmente, no tengo a nadie a quien llamar (claro, puedo llamar también al 062 y esperar); menos mal que Vicentín se cansó en un momento determinado de atacar a ACME, porque en caso contrario podríamos haber estado meses bloqueando direcciones IP en el firewall. Surrealista, ¿verdad? Hasta que no tengamos una especie de “062” al que llamar en situaciones así, mal vamos, porque no podemos hacer otra cosa más que cortar tráficos… Aunque me han comentado que puedes comprar, pagando en efectivo sin dejar rastro, un VPS ruso desde el que jugar con Vicentín muy alegremente (y encima el ancho de banda del proveedor es bastante barato)… Ojo, que me lo han comentado, que nosotros eso no lo hacemos porque es ilegal, por supuesto. Seguiremos poniendo la otra mejilla para que nos den más abajo y con el pie…
Como elemento positivo, hay que reconocer que el CNP hizo un trabajo excelente, y eso es siempre de agradecer, en nuestro caso especialmente al Oficial y, por extensión, al Inspector Jefe del Grupo; nos atendieron de maravilla en todo momento, el intercambio de información fue fluido y ágil y los resultados obtenidos fueron perfectos, con el atacante delante de un juez. El aspecto judicial ante situaciones como la explicada, y las situaciones surrealistas en los juzgados, darían para más de un post, pero ese ya es otro tema que excede la gestión del incidente con Vicentín…
La gestión de incidentes no es, por suerte o desgracia, una ciencia exacta. No sabemos si otros habrían hecho lo mismo que nosotros, mejor o peor, en esta historia inventada ¿Qué opináis? ¿Se os ocurre alguna alternativa legal más allá de bloquear y denunciar? ¿Denunciaríais? ¿Atacaríais -ojo, sin saber realmente si la IP es del atacante o de su vecino-? Cualquier idea es bienvenida, que el objetivo es, siempre, ir mejorando…
Vaya…lo primero, decirte que me alegro mucho de que “trincaran” a Vicente :)
Debo decir que de haber estado en tu situación habría obrado de igual manera. Normalmente me gusta respetar la ley.
Por supuesto estoy deacuerdo contigo en que hay que facilitar medios más ágiles para defender nuestros intereses en la red.
Pues a mi me da pena el pobre Diablo.
En cuanto a que se podía hacer algo más pues sí y no necesariamente maligno. Simplemente sacar unas firmas de los ataques que hacía y bloquear las IPs desde donde lo hacía a la quinta petición. Vamos algo normal que no creo que sea nada del otro mundo para alguien que trabaja en ACME. Me parece un poco exagerado montar todo ese revuelo que hablas por un chaval que acaba de empezar en esto… No quiero pensar que hacéis con unos pros…
En cuanto a la CNP, será la primera vez que actúan de forma competente porque lo único que buscan es sacarse la foto con la careta de anonymous y quedar de héroes.
Para ejemplo de Cuerpos de Seguridad me fijaría más en la GDT.
Un saludo
Tal como yo lo veo (y no estuve implicado ni pertenezco al área), si una noche descubres a un individuo intentando entrar en tu casa con cierta insistencia, lo más probable es que llames a la policía.
Que estuviese o no empezando en esto es irrelevante (supongo que eso no se sabía al principio). Uno tiene que saber que, como ir intentando entrar en casas ajenas, hay ciertas cosas que no deben hacerse, y lanzar ataques, sofisticados o no, contra los sistemas de una organización, no está justificado ni es legal.
En fin, no creo que tenga demasiadas consecuencias y supongo que la próxima vez se lo pensará dos veces.
Yo soy más de la opinión del VPS ruso.
Piensa “Este tio por capricho suyo te esta “jod…” (gerundio), te está haciendo perder tiempo, e incluso podrias llegar a perder tu trabajo…”
Y para que…¿Por pura diversión?. Pues que juegue a las canicas…
Tenemos que cambiar el concepto, hemos de empezar a defendernos en serio.
Recuerdo un ejemplo de una charla tuya sobre infraestructuras estrategicas “Cuando se ataca un castillo se tiene el foso…”
Ahora tenemos los fosos. Cuando nos dejaremos de Hipocresia y echaremos el acite hirviendo a ver si no vuelven más.
Si el Aceite es de oliva español… ¿también será ilegal?
Alejandro: es triste pero es así, hasta que no tengamos medios ágiles de verdad, no se me ocurre realmente qué hacer :(
Alberto: yo también soy más del GDT que de la BIT :) En cualquier caso fueron brigadas provinciales, no central. Con respecto a lo de exagerar las medidas, seguramente a toro pasado podría darte la razón, pero ten en cuenta que todo lo que sabemos de Vicentín lo sabemos cuando lo trincan y canta, no antes… hasta entonces, no sabíamos si era un chaval, un “pro”, una mafia o qué era …
Tonet: tenemos pendiente un café, acuérdate :)
Saludos
T