La reciente proliferación de los ataques de WannaCry ha cambiado el aspecto de esta creciente forma de amenaza virtual, debido a varias razones:
- WannaCry representa una nueva evolución de ataques de ransomware (o software malicioso), que no solo daña a la unidad principal infectada, sino que también actúa como “gusano”, intentando afectar activamente a cualquier otro dispositivo accesible. Esto da como resultado la vulnerabilidad de los sistemas de backend, como ocurrió con algunas computadoras de hospitales en Reino Unido conectadas a escáneres de IRM (imagen por resonancia magnética), carteles publicitarios y terminales de estacionamiento, que en general no cuentan con parches de seguridad y se ejecutan en un sistema operativo obsoleto y no compatible.
- En este momento, los ataques sugieren lazos con Lazarus, un presunto grupo de hackers de élite de Corea del Norte. Si se confirma que esto es cierto, éste podría ser el primer ejemplo de un ciberataque generalizado que involucra a un Estado. A diferencia del reciente lanzamiento de misiles militares en Corea del Norte, parece poco probable que un ciberataque patrocinado por un Estado provoque una respuesta militar.
- También se atribuye la culpa a las agencias de inteligencia estadounidenses por acaparar el conocimiento de cientos de vulnerabilidades de seguridad conocidas, sin mencionar su total fracaso al impedir que información altamente clasificada sobre estas vulnerabilidades llegue a manos de delincuentes.
Pero no centraremos este debate específicamente en WannaCry, salvo para reiterar que se trata de una vulnerabilidad de seguridad de versiones anteriores de Windows con un vector de ataque descubierto durante una violación a las agencias gubernamentales antes mencionadas. Además, Microsoft se ocupó de lanzar un parche rápidamente para corregirlo.
La lección comprende tres partes y es bastante simple:
- Manténgase al día con las versiones del sistema operativo siempre que sea posible.
- Implemente parches de seguridad apenas estén disponibles.
- Cuente con una buena solución antivirus.
Además, es importante que eduque formalmente a los usuarios acerca de por qué nunca deben hacer click en un hipervíncluo o archivo adjunto no solicitado, y por qué es crítico realizar copias de seguridad completas.
Pero el objetivo de este post es centrarnos en cómo este tipo de ataques puede afectar a los que ejecutan el sistema operativo IBM i.
Ataques de software malicioso en IBM i
Aunque muchos sostienen que es inmune, podemos afirmar rotundamente que los servidores que ejecutan IBM i pueden resultar afectados por virus y malware, incluidos aquellos como WannaCry, que ejecutan en equipos Windows que pueden tener conexión al IBM i. Cualquier afirmación que indique lo contrario es mentira.
Existen numerosos ejemplos de servidores de IBM Power Systems que han sido víctimas de virus tradicionales e incluso de ataques de software malicioso. Los expertos en seguridad de Fortra ayudaron recientemente a un cliente que descubrió casi 250.000 archivos infectados dentro de su IFS.
La buena noticia -e irónicamente la razón de esta malinterpretación- es que el sistema operativo IBM i, junto con sus objetos nativos, como los programas RPG y los archivos físicos (Physical Files, PF), son inmunes a la infección. Sin embargo, la inmunidad no implica que esos objetos no sean vulnerables a ser eliminados o renombrados. Y además, sí que existen también sistemas de archivos en el servidor cuyos objetos pueden ser infectados o encriptados y secuestrados para obtener rescate.
Entonces, ¿cómo minimizamos el riesgo?
Proteja su servidor
En primer lugar, siempre recomiendo Powertech Exit Point Manager for IBM i para restringir el acceso de usuarios (¡o de un virus!) al IFS y a los sistemas de archivos asociados. Esta solución debe implementarse además junto con una estricta gestión de permisos (como jamás compartir abiertamente la carpeta raíz del sistema de archivos) y como parte de un control integral que debe ser aplicado a todos los servicios de red, incluidos FTP y ODBC.
Luego, aproveche la lista de autorización QPWFSERVER para limitar el acceso a la estructura de directorios QSYS.lib a través del servidor de archivos. Este acceso no suele ser necesario para las operaciones del negocio, y restringirlo puede prevenir un impacto en los archivos tradicionales. Tenga en cuenta que este control no es efectivo para usuarios que cuentan con el permiso especial *ALLOBJ.
Como nota general, es importante asegurarse de que los perfiles no tengan accesos innecesarios a los datos o sistemas de archivos. Se suele pensar que la mayoría de los ataques son anónimos, sin embargo pocas veces es así. En general sucede que las credenciales han sido corrompidas, por lo que es fundamental asegurarse que se implementen las mejores prácticas de seguridad para las conexiones de usuarios, la política de contraseñas y los permisos para objetos.
También es necesario garantizar que los virus sean detectados antes de que se activen. Muchas personas desconocen que IBM i cuenta con prestaciones antivirus desde la versión V5R3. Parte del motivo de esta falta de concientización es que estos controles no resultan beneficiosos hasta que se instala un motor de escaneo nativo, como el popular Stand Guard Anti-Virus.
No podemos afirmar si algún cliente de Fortra ha resultado o no afectado por el ataque del WannaCry, pero sí que algunos clientes se han comunicado con nosotros expresando su preocupación al respecto. Y aunque ellos no han sido afectados, sí que tomaron la situación como un llamado de atención y ahora están interesados en tomar medidas para protegerse de amenazas futuras. Lamentablemente, a veces es necesario que ocurra un hecho de este tipo para que la gente tome medidas al respecto, pero nos alegra ver que al menos ha servido a modo de alerta para algunos.
Si desea obtener más información sobre cómo los virus y el software malicioso pueden causar estragos en sus sistemas IBM i, tenemos algunos recursos que pueden resultarle de interés:
-
Webinar: The Truth About Viruses on IBM i
-
Artículo: 4 Reasons You Need Native Virus Scanning
-
Video Blog: Malware, Ransomware, and Viruses vs Your IBM i Server
¿Su IBM i está en riesgo?
Descúbralo con un escaneo gratuito de virus y software malicioso