Ricardo Rojo

hace 4 años · 4 min. de lectura · visibility 0 ·

chat Contactar con el autor

thumb_up Relevante message Comentar

Wanna Cry. Secretos sobre la informática en las grandes empresas

Si estas buscando un documento técnico, este artículo no es para ti. Lo que te voy a contar te ayudará a comprender porque las grandes empresas se ven afectadas por ataques como el de Wanna Cry.

Lo que aparece en este artículo se basa en mis experiencias durante más de 13 años trabajando en departamentos de sistemas de grandes empresas. La experiencia en general fue muy buena y siempre estaré agradecido a las mismas pero esto no quita que haya problemas y que sean mejorables. Una nota adicional, todo esto está referido a empresas privadas. Mi sensación es que en empresas públicas la realidad será mucho peor pero no la conozco.

Empece a trabajar en esta gran empresa a finales de 1999. Aunque está muy lejos, los que tengan cierta edad recordarán que en aquella época los departamentos de informática se enfrentaban a su Armageddon particular. El conocido como problema del año 2000. Si quieres saber a que me refiero puedes verlo en Wikipedia - año 2000 . Lo que iba a ser una catástrofe al final no fue nada. Se invirtió mucho dinero los años anteriores, se jubilaron muchos ordenadores y programas y todo transcurrió con relativa calma.

Al llegar a esta empresa, mi impresión fue que la informática era bastante caótica. Había muy buenos profesionales pero poco orden. Los departamentos estaban llenos de personal externo y la coordinación era más producto de las relaciones personales que de una estructura definida y clara. Una vez paso el problema del año 2000 se trabajo en mejorar la organización. Se contrató mas personal (principalmente externo) y se hizo un buen trabajo organizando los departamentos por tecnología con responsables bien definidos. 

Dos años después, en el año 2001, tuvimos la siguiente crisis que fue el virus code red. En aquel entonces la seguridad informática no estaba en ningún listado de problemas por lo que no se dedicaba demasiado tiempo a revisarla. Los parches de Microsoft se veían más como una solución en caso de que hubiese un problema que como una necesidad real. Además, siendo realistas, no teníamos recursos para poder dedicar tiempo a parchear equipos o revisar logs.

¿Como se vive una infección desde dentro?

Estas montando un servidor nuevo. Recibes una llamada.

Usuario - "Oye, se ha caído el servidor xxx. ¿Puedes bajar al cpd (sala de servidores) y echarle un vistazo?"
Yo - "Claro, dame un par de minutos y voy". Cuelgas el teléfono.

Un minuto después.Otra llamada de teléfono.

Usuario - "Ricardo. No llegamos al servidor yyy. ¿Sabes si le ha pasado algo?". 
Yo - "Pues no me consta pero dame un minuto que voy a mirar". 

Dos servidores en pocos minutos no es normal. Te levantas y bajas a la sala de servidores. el primer pensamiento es que se puede haber ido la luz. 

Llegas a la sala de servidores, arrancas la pantalla y ves que el primer servidor se está reiniciando. Cuando se termina de reiniciar te conectas al mismo y abres el visor de eventos. Mientras estás mirando el mismo, el servidor se reinicia mientras estas viendo el visor. Se te queda cara de tonto.

Wanna Cry. Secretos sobre la informática en las grandes empresas

Miras el otro servidor y se está reiniciando también. Empiezas a arrancar monitores y ves alguno otro que se está reiniciando. En ese momento un escalofrío recorre tu espalda. TENEMOS UN PROBLEMA.

Llamas a la gente de comunicaciones y les preguntas si han visto algo raro. No han visto nada pero van a revisar los logs. Vas a hablar con tú jefe y le cuentas la situación. Rápidamente se convoca una reunión de todos los del departamento.

Jefe - Se están cayendo los servidores. ¿Sabéis si se ha hecho algo?
... - No
... - No
... - No.

Jefe - Tenemos un problema gordo. Voy a hablar con mi jefe. Ricardo, habla con los de comunicaciones a ver si han visto algo. Hablamos en 5 minutos.

Yo - Oye, ¿Habéis visto algo?. 
Comunicaciones - Se esta generando tráfico no habitual desde algunos servidores. 
Yo - ¿Que servidores?
Comunicaciones - Te digo las ip´s. ....
Yo - Esos servidores se están reiniciando. Ahora te llamo.

5 minutos después. Reunión con mi jefe y el jefe de mi jefe. Les cuentas lo que ha dicho comunicaciones.

Yo - Puede que tengamos un virus. Podría estar infectando a toda la red. 

El jefe de mi jefe - ¿Qué hacemos?
Mi jefe - Hablar con Microsoft a ver si saben algo. Hablar con comunicaciones a ver que se puede hacer.
El jefe de mi jefe - Voy a hablar con mi jefe y luego hablamos. Poneos en marcha.

Llamada a Microsoft. Conclusiones: 
  • Puede ser un virus.
  • Van a investigar y nos llamarán
Llamada a Comunicaciones. Conclusiones:
  • Se cierran las comunicaciones de los servidores que parecen estar infectados.
Llamada de mi jefe. Conclusiones:
  • Cerramos los servidores para evitar que la infección se propague más. 
  • Se avisa a los usuarios de que no van a poder trabajar con determinados servicios
Gabinete de crisis para ver que se puede hacer. Presentes, un montón de jefes. Comunicaciones, servidores (nosotros), microinformática (puesto de cliente).

Conclusiones:
  • Hablar con Microsoft
  • Apagar los servidores para que no se infecten más
  • Una vez sepamos que pasa habrá otra reunión


Microsoft
Es un problema de seguridad. Hay que poner un parche en el servidor para que deje de ser vulnerable.


Reunión alto nivel. Solo jefes.
Prioridad total de todo el mundo. Aquí no se va nadie a casa hasta que se arregle.

Solución: 
  • Levantar servidores sin red.
  • Instalar parche de seguridad.
  • Conectar a la red. 
Solución servidores infectados:
  • Levantar servidor sin red
  • Reinstalar
  • Aplicar parche de seguridad
  • Conectar a la red
  • Restaurar backup
dbd4dcfb.jpg
Todo esto es muy fácil de decir pero cuando tienes 200 servidores, 20 se han visto afectados y hay 5 personas para recuperarlos no es tan fácil. Requiere organización y sobre todo tiempo. 

Hay que tener en cuenta que estamos hablando del año 2001. Los hechos que cuento son más o menos así. Han pasado más de 15 años y no recuerdo todos los detalles pero se aproximaría bastante.

Cosas positivas de la experiencia:
  • No se buscó un culpable al que cortarle la cabeza. Se trabajo en equipo para buscar la solución.
  • Se tomó la mejor decisión aunque fue duro tener que parar.
  • Es necesario dedicar más recursos a la seguridad. Es importante.
  • Gracias a la actitud que se tomo respecto al problema, en vez de generar malos rollos entre departamentos, mejoro las relaciones entre los mismos.

Tras esto se trabajo mucho en mejorar la implantación de parches de seguridad. En entornos tan grandes (a mediados de 2012 había entre 1200 y 1500 servidores), no es fácil poner parches. Los entornos son muy heterogéneos, hay aplicaciones muy antiguas que se pueden ver afectadas al poner los parches y es necesario poner los parches en entornos de pruebas y que los responsables saquen tiempo para verificarlos.

Cuando empezamos a distribuir los parches tardábamos un mes en poner los parches y no se llegaba a todas las máquinas. Tras varios años de trabajo y gracias al apoyo de la dirección de la empresa, estos tiempos se redujeron a entre 3 y 12 días dependiendo del entorno. Créeme, esto es todo un logro en una gran empresa.

Cuando se produce un ataque como el del viernes, mucha gente se plantea como es posible que se vean afectadas empresas como telefónica. La verdad es que la complejidad de los sistemas de información de las grandes empresas hace que sean muy difíciles de mantener. Se requieren muchos recursos y un gran compromiso por parte de la dirección para mitigar estos efectos. Eliminarlos por completo es prácticamente imposible, el número de amenazas es muy grande y los recursos que se pueden dedicar son limitados.
""
thumb_up Relevante message Comentar
Comentarios

Más artículos de Ricardo Rojo

Ver blog
hace 3 años · 1 min. de lectura

Como empezar a montar una empresa aburrida

Hace un año me llego un email de un compañero de S ...

hace 4 años · 2 min. de lectura

Por que siempre te equivocas al seleccionar a informáticos y además es normal

Hace una semana hice una pregunta en una de mis cl ...