13 octubre 2014

El malware que no se podía desinfectar


Imaginad una empresa española, con un edificio central y diferentes plantas de producción de energía nuclear, aisladas del edificio central, situadas incluso en países diferentes. La crisis ha pegado fuerte, por lo que a lo largo de estos últimos años, el nuevo cuerpo de altos directivos de la empresa han tenido que tomar decisiones de alto impacto económico y social. Despidos masivos, recortes en los presupuestos destinados a mantenimiento, beneficios sociales para los empleados, no renovación de licencias antivirus ni de infraestructura de seguridad, etc,...

Desde una de las centrales, comunican al departamento de sistemas que tienen un par de ordenadores portátiles, propiedad de la empresa, infectados con un tipo de malware que ningún antivirus conocido hasta el momento, ha sido capaz de desinfectar. Que otros portátiles que han tenido ese malware (los síntomas eran un sobrecalentamiento de la CPU, fallo de diferentes drivers y elementos críticos del kernel, fallos de hardware, etc,…) han terminado afectando a la BIOS y el firmware de los dispositivos, inutilizando la placa base del ordenador, haciendo imposible instalar otro sistema operativo, teniendo que ser sustituido por otro portátil. Dicho malware se contagia por contacto directo y físico, ya sea mediante comunicaciones de red, como por compartir dispositivos de almacenamiento externo entre ordenadores, etc… Cierto es que hay un 10% de ordenadores en los que, por configuración interna, son capaces de combatir el malware y eliminarlo completamente. 

Los altos directivos de la empresa, se enteran de que esto ocurre, y confiando que las infraestructuras, recursos, profesionales y protocolos serán mil veces mejores en la central española que en las instalaciones de las plantas nucleares, deciden traerse los dos portátiles a la central, tomando (más o menos), buenas medidas de seguridad, para que en el viaje hasta el laboratorio del departamento de sistemas, el malware no se propague.

Varios expertos en malware, seguridad y ayudantes de estos, aislan los portátiles contaminados de la red de producción de la empresa, y se centran en ver si pueden aprender qué hace ese malware, cómo se contagia, y confiar que ejecutando diferentes antimalware de última generación, con capacidades heurísticas y algunos aún en beta, puedan ser efectivos y se salve el hardware, el software y los datos de ambos ordenadores. 

Durante el tiempo que duró el trabajo, todos los intentos fueron inútiles. Diferentes expertos y ayudantes, estuvieron tratando los portátiles. Estaban aislados, por lo que los del departamento de seguridad y sistemas, instalaban y ejecutaban los antimalware mediante pendrives USBs y dispositivos externos, que eran suministrados por la empresa y que no se sacaban de allí. 

Sin embargo, Teresa, una investigadora de la empresa, se presentó voluntaria para trabajar en ese proyecto. Al no disponer la empresa de más pendrives USB en ese momento, y aun sabiendo el riesgo que corría, decidió utilizar su portátil personal. En principio, tomó ciertas precauciones, mediante antivirus actualizado en el PC, con firmas para todo el malware conocido en el momento y con firewall para conexiones entrantes. Se conectó con un cable cruzado, configuró direccionamiento IP de la misma red, copió un antimalware y lo instaló. Estuvo trasteando con el portátil, e incluso hizo algún tcpdump para ver qué conexiones salientes intentaba ejecutar el malware, si hacía una llamada al C&C o poder identificar qué hacía.  

No se llegó a ninguna conclusión puesto que los portátiles infectados de las centrales, no sobrevivieron. El hardware ya venía muy deteriorado y ciertos periféricos daban ya errores y no se podía ejecutar ciertas herramientas. 

La trabajadora que conectó su ordenador portátil se fue a su casa. Tras el trabajo realizado, pidió unos días de vacaciones. Estando en casa, se dio cuenta, que cuando estaba haciendo el tcpdump, había tenido que deshabilitar el firewall personal, y habilitar el routing en su máquina para ver si había cambio de comportamiento en el tráfico de red que enviaba el PC infectado. Bueno, dijo,…. no creo que haya pasado nada por esto. Desde su casa se conectó a la red Wifi, enchufó varios USBs personales, y durante varios días se comunicó con diferentes personas, intercambiando ficheros por USB, e incluso se conectó a varias redes inalámbricas públicas. 

A los pocos días, su portátil empezó a dar fallos. Pantallazos azules, sobrecalentamiento de CPU, errores de disco… algo no iba bien. Llamó a su empresa, e indicó a otros expertos, que había participado en la investigación de los portátiles contaminados. Sus compañeros le dijeron que arrancase en modo a prueba de fallos, reinstalase el Windows, y que si no se arreglaba, llevase el portátil a una tienda de informática de su barrio y que allí se lo arreglasen. 

Y así lo hizo, fue a la tienda más conocida de su barrio y allí el ordenador tuvo contacto con los de otros pacientes que se encontraban en la misma red, así como con varios operarios y profesionales de la misma tienda, que se conectaron con un cable cruzado contra el de ella para hacer un diagnóstico. 

Pero aquello cada vez iba a peor. No había forma de volver a un punto de restauración anterior, y cada vez se calentaba más. Su pareja, incluso llamó preocupado a la oficina de Teresa, puesto que había leido en twitter, y medios digitales, sobre lo devastador del malware que estaba afectando a otras empresas en algunas plantas nucleares, y claro, él era conocedor que su pareja había usado su ordenador personal para su trabajo, y tenía miedo por otros ordenadores de casa, que pudieran haberse infectado. 

Al final, la empresa envió una furgoneta del departamento de informática a buscar el ordenador de Teresa a su casa. La furgoneta tenía red wifi, y el ordenador de Teresa estuvo conectado a ella. Según dejaron el ordenador de Teresa en la empresa, utilizaron la furgoneta y su red wireless para transportar otros ordenadores pertenecientes a otros departamentos. 

A los pocos días, llevaron el ordenador de Teresa a su empresa, y decidieron aislarlo: Estaba infectado. La noticia se filtró a la prensa. Una de las empresas más importantes del país, que trajo un potente malware sin cura a España, ha tenido algún fallo, y ahora el malware puede estar en cualquier parte. A partir de ahí, los directivos de su empresa, empezaron a dar palos de ciego, a convocar ruedas de prensa en medios de prensa, e intentar calmar a la población. En medios de prensa y  redes sociales no se habla de otra cosa, se pide la destitución de la responsable de seguridad de la empresa, llamada “Janna Formateo", que sin tener conocimientos técnicos respecto lo que podía llegar a pasar, empezando por haber dejado sin recursos ni presupuesto para disponer de más pendrives USB de empresa, licencias de antimalware corporativo, etc… tomó la decisión de intentar salvar los dos portátiles infectados en la planta nuclear, trayéndolos a la central en España, confiando en los cuidados de sus expertos. A los pocos días, nuevos portátiles personales fueron llevados al laboratorio de la empresa, para tenerlos en observación. Se provisionó una sala, destinada originalmente a formación,  para poder atender nuevos portátiles y dipositivos. La responsable de seguridad tomó la drástica decisión de destruir un iPad de la trabajadora, que puede que se hubiese conectado a la misma red Wifi que el ordenador infectado. En ese Ipad, Teresa guardaba fotos, datos personales e innumerables recuerdos, de los que no es posible hacer un backup. En las redes sociales, la gente se organizaba, hacía campañas para que no destruyesen el Ipad de Teresa, que posiblemente al tener un sistema operativo diferente, el virus no sería igual de dañino y que incluso si afectaba al Ipad, se podría aprender de él. Pedían que no lo destruyesen, que lo tuvieran en observación, en un sitio especializado en malware para ipads, y en el que pudiesen intentar delimitar la forma de propagación y el efecto en ese sistema operativo, para poder generar una firma válida o un patrón heurístico para poder bloquear la acción del malware. Finalmente, el ipad fue destruido, y con él, un montón de recuerdos de Teresa y de su pareja.

En TV no se habla de otra cosa, el responsable de RRHH de la empresa, le echa la culpa a Teresa, por haber conectado su portátil al ordenador infectado, y por no haber avisado al técnico de la tienda de ordenadores de su barrio, que había estado analizando un malware peligroso desde su portátil. La responsable de seguridad, se lava las manos con el tema y apenas da explicaciones sobre el plan a seguir para controlar una infección de la que se desconoce el alcance. Finalmente, la dirección general de la empresa, que dieron su aprobación para traer a España los dos portátiles infectados de la planta nuclear, y que tiene descontento a una grandísima mayoría de los trabajadores de la empresa, debido a su política de recortes de presupuestos, despidos, condiciones de trabajo infrahumanas y haberse visto envueltos en desafortunados escándalos de corrupción, en vista de la inutilidad manifiesta de la responsable de seguridad, decide darle el mando a la subdirectora para que tome las riendas del caso.   

¿Os suena todo esto verdad?

He querido relatar como si de un incidente de seguridad se tratase, lo que sin duda ha sido algo completamente trágico. Ya no sólo por traer a España un virus aún incurable, introduciendo un riesgo, a mi modo de ver innecesario, sino por la desafortunada y patética gestión de todo lo que se ha ido haciendo. Echarle la culpa a la auxiliar de enfermería, de lo que sin duda ha sido un error grave por su parte, posiblemente por la desinformación y por la falta de protocolo inicial, unido al aire chulesco de determinados consejeros regionales, así como la incapacidad manifiesta de otros, merece sin duda que rueden las cabezas en la cúpula de “la empresa”.


Desde aquí, todo mi apoyo a Teresa Romero, la auxiliar de enfermería que por acción del virus del Ébola, aún sin tratamiento que garantice su curación, que fue traído a España sin que ella ni nadie lo pidiésemos, y que por arriesgar su vida dando cuidados a los dos pacientes infectados, ahora se debate entre la vida y la muerte. Ojalá se salve, y se acoten el resto de los casos lo mejor posible, sin que se genere una pandemia.

29 comments :

Román Ramírezr dijo...

Me encanta el paralelismo y la metáfora. Un diez, Lorenzo.

campoamor dijo...

Me parece una comparación muy desafortunada. Que ademas, no aporta nada en un blog de seguridad informática ya que todo es una hipérbole para hablar de otro tema totalmente distinto. En España todo el mundo se cree entrenador de fútbol, economista, experto en riegos biológicos o lo que se tercie. El día que cada uno se dedique a opinar de lo que le toca daremos un gran salto adelante como país.

Luis H dijo...

Hola, como dice Román, un diez a tu exposición y me alegra ver que no solo somos/creemos ser entendidos y aprendices de seguridad informática, ante todo debemos ser personas con opinión y posicionamiento en la vida, todo ello desde el mas profundo respeto al que opine contrario a nosotros. Enhorabuena por tu entrada de hoy. Un saludo
Luis

txipi dijo...

Que se apliquen eso los ministros y verás que salto ;-)

Amador dijo...

Me gusta la óptica que has utilizado para ofrecer un punto de vista diferente al ofrecido por los medios y políticos.

muriel dijo...

La metáfora conforme se va leyendo el relato se hace obvia. Muy bien reflejado, como dice Román, el paralelismo y sobre todo cómo "depurar" responsabilidades lógicamente.

muriel dijo...

A mí me parece una comparación genial en la cual si la perspectiva la enfocamos hacia los políticos que nos gobiernan creo que el plumero se vería hasta en Júpiter.

mig27 dijo...

La fracesita ya casina de "En España todo el mundo se cree entrenador de fútbol, economista, experto en riesgos biológicos o lo que se tercie" demustra claramente que el que la dice no salió del país, ya que en todos los sitios pasa lo mismo, por ahora en casi todo el mundo opinar es "libre", ¡faltaría más!.

Otra cosa es ver a gente que habla sin conocimiento o comete errores, pero para eso están los filtros que cada uno debemos saber utilizar. Tal vez para el amigo "campoamor" Internet debería ser un lugar de publicación "sólo para sabios", pero la realidad es otra y por supuesto nada tiene que ver con ser Español, Francés o Japones.
Un saludo a todos y en especial a Lorezon, gracias por opinar y escribir.

Lorenzo Martínez dijo...

Muchísimas gracias a todos por vuestros comentarios, muestras de apoyo y opiniones!

Rubén Cotera dijo...

Cuando he leído lo del iPad, aunque ya sabía de qué iba, no he podido evitar reirme un poco... Muy bien explicado y muy bien dicho: ¡bravo!

Anónimo dijo...

Muy buena, sí señor. Me ha encantado.
Enhorabuena y un saludo.

Uno que pasaba por aqui dijo...

El otro dia estuve pensando en como hacer una metafora sobre el Ebola usando la informatica. Un diez!

napaboy dijo...

Excelente analogía, muy preocupante tanto si llegara a pasar en informática tal y como lo describes y por su puesto, el lado humano y real de esta trajedia que ya está llegando a más países.

Emilio dijo...

Excelente artículo

Javi dijo...

Me parece entender que insinuas que la solución para evitar la infeccion era no traer a los misioneros y dejarlos morir tranquilamente allí?

Tojeiro dijo...

¿ Crees que la solución para resolver la inminente fusión del núcleo de un reactor de un submarino nuclear es traerlo a tu base cuando precisamente la crisis consiste en que no eres capaz de controlar dicha fusión inminente ? Si el submarino explota en alta mar, deberás plantearte porque no tienes cubierto esa contingencia y depurar responsabilidades, si lo traes a tu base y te explota en la cara tendrás que explicar porque has sido un completo idiota.

Si no tienes cura en África y tampoco la tienes en tu país , aun te queda el tratamiento paliativo que puedas darle en tu territorio. Partiendo de la base que el hospital donde se ha tratado a los pacientes repatriados ha sido acondicionado por estar este desmantelado ¿no se podría haber habilitado este entorno en la misma Africa con los mismos medios? ¿E incluso haber ampliado radio de acción a la ayuda de la población local y el comienzo del estudio epidemiologico que ahora resulta que es prioridad máxima para el 1º mundo ?

No, esta claro que lo primero es el orgullo patrio. Patriotas, aquellos que reclaman lo propio como excelso y no saben hacer lo mismo con sus debilidades.

Se puede untar a todas las empresas de calificación que quieras para que digan que tienes las cuentas saneadas, que tu economía es fuerte y robusta, justa, limpia y da esplendor. El virus del Ebola sin embargo no entiende de políticos corruptos y sus protocolos inexpugnables e incontestables. Esas mentiras no las traga, las infecta.

Bartolo dijo...

Lo del submarino me recuerda al Prestige.

Felipe dijo...

Yo también he creído entrever esa opinión. Eso dice mucho de tus cualidades humanas.

GreKA350x dijo...

excelente. saludos!

Lorenzo Martínez dijo...

Es correcto. Mi opinión era que, en caso que no se pueda trasladar a África un hospital de campaña con medios españoles, es mejor dejar morir a dos personas de fe que han tomado voluntariamente la decisión de sacrificar su vida en África ayudando a la gente que lo necesita, asumiendo todo tipo de riesgos, antes que traer una enfermedad incurable a España y hacer correr ese mismo riesgo a millones de personas... Puede sonar frívolo, inhumano y lo que quieras, pero si tengo que elegir entre dos personas que están moribundas o millones que están sanas, prefiero mantener vivas a las que están sanas

Juan dijo...

Feriante de la seguridad y mala gente... joder cada vez das más pena como profesional y como persona

muriel dijo...

Mala gente?? Jajajajaja!!! Sentido común!!!! Has visto ya cómo ha crecido la cantidad de gente en observación?? Sentido común hombre!!!

Tojeiro dijo...

Efectivamente, una situación solventada con éxito por el mismo grupo de gobierno. Marca España.

Lorenzo Martínez dijo...

Más pena das tú, siendo un cobarde ocultando tu identidad, en vez de decírmelo directamente :)
No obstante, si crees estar en posesión de la verdad sobre cuál era la mejor opción para gestionar el incidente del ébola, puedes escribirlo como "anónimo" en un comentario

txalin dijo...

Cierra al salir.

khepper dijo...

Bonita y obvia analogía, no obstante hay varias cosas que chocan, enfasis en antivirus y técnicas heurísticas avanzadas en expertos en seguridad, que no suelen usar antivirus, es extraña.

Que no lo sepa arreglar y lo lleve a la tienda de su barrio me parece simpática la vez que poco realista.

Curioso que se cite tcpdump y no otras herramientas, a la vez del énfasis de los antivirus, que en general, suelen dificultar la desinfección

Eso si, en España somos mejores en seguridad que en otros paises, eso si me ha gustado ;)

En fin, y con todos mis respetos al autor de este hilo, parece algo llevado de forma un poco forzada, no sigo la actualidad aunque se lago del caso comentado, al igual que otras miles de desgracias que afectan al mundo

Saludos

Ignacio Agulló dijo...

Me parece un detestable ejercicio de mezquindad por parte de Lorenzo. Los profesionales TIC no exponemos nuestra salud, los trabajadores sanitarios sí. Ellos son nuestra primera línea en la lucha contra las enfermedades, lo que pasa es que la gente egoísta como Lorenzo se olvida de ello.

Lorenzo Martínez dijo...

Hola Ignacio, al menos tú opinas con nombre y apellidos. No sé si has leído precisamente en mi post que digo que precisamente Teresa arriesga su vida dando cuidados a los pacientes infectados con ébola que han traído a España. He intentado hacer una analogía comparándolo con lo que sería un incidente de seguridad. Evidentemente, el daño material del ejemplo en el que un portátil queda inutilizado, no es ni remotamente comparable con la muerte de una persona. He deseado todo mi apoyo a Teresa Romero, y mis mejores deseos de recuperación, por haberse contagiado. ¿Dónde ves la mezquindad y el egoísmo exactamente?

alm06 dijo...

Cuando muera el primer niño por un riesgo que asumieron y tomaron otros, acércate tu por favor a explicarle a la madre lo egoísta que es Lorenzo y los generoso que eres tu.