LOS RESCATADORES
Mercè Molist
¿Qué hacer
cuando, un sábado por la tarde, el responsable de la red de la empresa
Cualquiera descubre a un intruso en sus sistemas? La solución más
práctica es ponerse en contacto con un servicio gratuito de ayuda
en incidentes informáticos, un Computer Emergency Response Team
(CERT). Hay dos en España y funcionan a toda marcha.
El 2 de noviembre de 1988, un programa dañino empezó a comerse ordenadores del sistema Arpanet, la red militar estadounidense. Saltaba de uno a otro, de Arpanet a Milnet, a la NASA, al Massachusetts Institute of Technology, a las universidades, aprovechando varios errores en programas UNIX. Miles de máquinas colapsadas y el pánico general fueron el resultado de este gusano (virus que se "cuela" sin ayuda, con la única función de utilizar espacio hasta estropear el sistema), al que llamaron "gusano de Morris" por su creador, Robert Morris Jr, hijo de un científico jefe del National Computer Security Center.
A pesar del desbarajuste, el "gusano de Morris" tuvo una consecuencia positiva: abrir los ojos sobre la necesidad de montar algún tipo de respuesta a futuros casos como ése. El ataque había cogido en falso a la incipiente comunidad de Internet, formada mayoritariamente por gente de ciencia, que respondió de forma descoordinada y espontánea. Así nació el primer CERT, en la Universidad de Carnegie Mellon, llamado CERT/CC. Su misión: ser un punto central de ayuda en ataques, coordinar y formar para una mejor seguridad informática. A principios de los 90 y con la misma filosofía, aparecían los primeros CERTs en Europa. En 1995, se estrenaban el esCERT de la Universitat Politècnica de Catalunya y el IRIS-CERT de Rediris, la red del mundo académico español.
Mientras el esCERT se dedica, especialmente, a la seguridad de las empresas, el IRIS-CERT está orientado a la comunidad científica. Dentro del FIRST (Forum of Incidence and Response Security Teams), que reúne a CERTs de todo el mundo (54 de sus 90 miembros son europeos), los hay también de muchos tipos: autofinanciados, dependientes de universidades, de empresas, de gobiernos. Sólo tienen en común la descoordinación entre ellos y el poco capital, según el estudio "eEurope - Co-operation amongst national CERTs", de la Comunidad Europea: "Ninguno de los CERTs europeos está bien equipado, capacitado e informado como el CERT/CC, que ya se está autofinanciando".
A pesar de los problemas económicos, estos grupos de expertos en seguridad informática siguen ofreciendo gratuitamente sus servicios de información y respuesta a emergencias, que han crecido exponencialmente. Aunque la mayoría de ataques nunca son denunciados, el esCERT investigó 64 casos el año pasado, mientras que en IRIS-CERT llegaban a los 490, doblando las estadísticas de 1999. Su función en estas situaciones es ayudar al responsable de la máquina comprometida a encontrar las causas del ataque, formas de defensa, evidencias para una posible investigación, etc.
Manuel Medina, director del esCERT, explica el procedimiento estándar: "Primero, debe rellenar el formulario que tenemos en la web. Se le pasarán referencias de avisos de seguridad donde se explica cómo resolver el ataque; por ejemplo, que no toque nada, para recoger pruebas. Lo completamos con preguntas para descubrir qué ha pasado y se contacta con los responsables de los sitios desde donde se ha hecho el ataque, o se filtran mensajes desde donde se está atacando. Ahora, prácticamente todo el mundo ataca desde usuarios libres, con IPs (direcciones Internet Protocol) móviles y usuarios ficticios. Saber quien lo ha hecho es prácticamente imposible si no se pone una denuncia".
Aunque el cuerpo de policía y la Guardia Civil cuentan con sendos departamentos de seguridad informática, los equipos no suelen solaparse. Explica Medina: "Ellos gestionan las denuncias y hacen algo de investigación, pero no son autosuficientes. Tampoco resuelven los problemas, no reparan la puerta, ni apagan fuegos, ni recojen pruebas. Cuando alguien tiene un incidente, debería pasarnos el informe a nosotros, sin compromiso". ¿Se comerá la policía del mundo físico a los CERTs? "En estos momentos, tienen tanto trabajo que no se dedican a buscar atacantes. Si tienen las pruebas electrónicas, intentan descubrir a la persona que está detrás de una identidad informática pero, en el 90% de los casos en que no hay un proceso judicial, la policía no interviene", afirma Medina.
Chelo Malagón, de IRIS-CERT, tampoco cree que las fuerzas tradicionales de seguridad vayan a sustituirles: "Los incidentes que manejan son diferentes: pornografía infantil, fraude, chantajes.. Nosotros no recibimos denuncias de esta clase, la gente afectada ya va directamente a la policía". De todas formas, la colaboración entre los diferentes grupos es "satisfactoria", según Malagón, quien añade: "Somos complementarios".
Tanto esCERT como IRIS-CERT empezaron con sólo una persona contratada y hoy son cuatro en cada equipo. El esCERT se autofinancia al 100%. El IRIS-CERT depende del Ministerio de Ciencia y Tecnología, un estatus común en la mayoría de CERTs europeos, muy relacionados con la universidad (de hecho, el esCERT se encarga también de la seguridad en las universidades catalanas). Su servicio más importante es la respuesta a incidentes. Después están las listas de avisos, las auditorías y peritajes, la información en la web, las estructuras de certificación, la formación o la definición de políticas de seguridad. Estas prestaciones son gratuitas para la comunidad académica y, para empresas, sólo algunas (ayuda e información).
El problema llega cuando los ataques se originan o pasan por otros países. Es necesario tener allí a una persona de "confianza", para organizar la respuesta o seguir las huellas. La coordinación entre CERTs europeos es un sueño que, por ser tan diferentes e independientes, aún no se ha hecho realidad. La confianza se basa en relaciones personales creadas usualmente en reuniones físicas, sin que exista una institución que certifique esta fe, necesaria hoy, ante el aumento de trabajadores y su movilidad, que hacen fallar el modelo basado en conocerse personalmente.
Las conversaciones para dibujar un mecanismo de coordinación y confiabilidad empezaron en 1992. En 1997 se puso en marcha el plan piloto EuroCERT, que no cuajó. Según Chelo Malagón, de IRIS-CERT, quien participó en la experiencia, "no se pudo llegar a un consenso para definir un servicio permanente por parte de las redes contribuyentes, debido a la gran diversidad de tipos de redes y equipos de seguridad existentes en Europa, cada uno con unas necesidades y requerimientos específicos".
Desde mayo del 2000 y durante dos años, los CERTs están metidos en otro intento de coordinación europea, llamado TF-CSIRT (Task Force Computer Security Incident Response Team), que tiene, entre otros objetivos, proporcionar información en línea sobre los CERTs existentes y animar la creación de nuevos, establecer la famosa red de confianza, añadir a la base de datos RIPE (registro de direcciones IP en Europa) una entrada para el responsable de seguridad de cada empresa y estandarizar la clasificación de los incidentes de seguridad, para poder intercambiar estadísticas.
Y es que, en algunos
campos, la descoordinación es tanta que ni los dos CERTs españoles
se ponen de acuerdo a la hora de, por ejemplo, clasificar los incidentes
investigados. Herederos de la prehistoria de la seguridad cibernética,
la mayoría de estos equipos mantienen aquel carácter anárquico,
científico, de hackers cuando los hackers eran buenos. No se ponen
de acuerdo para coordinar una red de confianza pero, al hacer tantas reuniones
sobre el tema, son estas citas las que conforman, "automágicamente",
la red deseada. Algunos les llaman policías y otros, bomberos de
Internet. Son, en todo caso, un número de teléfono que tienen,
en las mesas de noche y de trabajo, los administradores de sistemas.
CERT/CC
http://www.cert.org
IRIS-CERT
http://www.rediris.es/cert
esCERT
http://escert.upc.es