El Ransomware se paga con tiempo, ¿puedes pagarlo?

Hace unos días la compañía EDP sufrió un ciberataque sobre el cual nuestro compañero, César Fernández González, hace las siguientes reflexiones:

Desde el punto de vista técnico el ransomware es un problema relativamente nuevo, pero su mitigación es tan vieja como las IT mismas: el backup. El ransomware consiste en cifrar los datos de una organización y pedir un rescate por la clave de descifrado. A primera vista, si tenemos copias de seguridad (diarias, por ejemplo) con restaurar la última copia completa y su incremental problema resuelto ¿o no es así?

Pues la respuesta es “depende” (léase con tono gallego), y es que aquí el tamaño si que importa: no es lo mismo restaurar 2 máquinas con 50 GB cada una (entorno perfectamente realista en una PYME) que restaurar cientos si no miles de máquinas y muchos Tb de información como parece ser el caso de EDP (recordemos que solo la información que dicen haber exfiltrado son 10 Tb y eso es la punta del iceberg de lo cifrado). Cuando hablamos de un volumen masivo de información es cuando entra en juego mi concepto favorito de toda arquitectura: la escalabilidad.

Todo sistema informático se consta de 3 componentes básicos: cómputo (CPU), memoria volátil (RAM) y almacenamiento (disco), y cuando hablamos de sistemas con más de una máquina aparece un cuarto componente básico: la red. Supongamos, por simplificación, que nuestros recursos de cómputo y memoria volátil son infinitos, e introduzcamos la variable que me interesa para este ejercicio: el tiempo.

El almacenamiento de las copias de seguridad es por definición “barato y lento”. Tradicionalmente se usan cabinas de cintas magnéticas LTO (muy similares a VHS) que tienen una densidad de almacenamiento muy alta pero el tiempo para acceder al dato a restaurar es muy lento, pueden ser segundos, minutos o si la máquina de cintas tiene todas sus cabezas lectoras ocupadas restaurando o guardando otros datos, podemos hablar de horas (días, semanas ☹ … ) puesto que nuestra restauración tiene que ponerse a la cola de trabajos de restauración. La otra tecnología que se esta usando masivamente es el almacenamiento en la nube, pero en “cold storage”. Hablamos de productos como Glacier de Amazon AWS que permiten almacenamiento virtualmente infinito a un coste muy reducido (de su web: Los precios del almacenamiento con Amazon S3 Glacier comienzan a partir de 0,004 USD por gigabyte al mes) luego la recuperación de los datos ya tiene un coste más elevado, pero ahora mismo no nos preocupa el dinero (al fin y al cabo, nuestros sistemas están cifrados, estamos en pánico y los secuestradores nos piden 10 millones de $). Sin embargo, de nuevo entra la variable tiempo: los ficheros no están accesibles inmediatamente, también hay una cola de peticiones y los ficheros estarán disponibles en Glacier para su descarga transcurridas unas 4 horas desde que se procesa la petición.

Y hasta aquí solo hemos tenido en cuenta el tiempo que tarda en estar disponible el dato en el sistema de almacenamiento. Ahora entra el otro factor: la red. En el sistema de backup a cintas los distintos interfaces de servidores de backup tienen una capacidad limitada, y a su vez los distintos dispositivos de red que atraviesan los trabajos de restauración tampoco tienen capacidad infinita y por último la red del dispositivo final a restaurar también tiene unos límites, típicamente mucho menores. En el caso de restauración desde nube nos encontramos además con la limitación del ancho de banda de nuestra conexión a internet (y la que el proveedor de nube quiera dedicar a nuestra restauración)

Bien, de forma totalmente especulativa y solo para ver el orden de magnitud del que estamos hablando, supongamos una capacidad de restauración de 1Gb por segundo y tengamos en cuenta el entorno ideal que por todo lo demás nos hemos dado (CPU y RAM infinitas, todos los backups son consistentes y todos los trabajos de recuperación funcionan a la primera). Si tenemos que restaurar 1 Pb = 1.000.000 Gb tardaríamos 1.000.000 segundos = 16.666 minutos = 277 horas = 11.57 días.

¡¡¡11 DIAS!!! Recuerdo que todos los valores son inventados, pero ese es el orden de magnitud: semanas o meses. Y lamentablemente el entorno descrito no es realista, en el mundo real el resto de recursos no son infinitos y los fallos en los procesos existen.

Esto me lleva a la segunda reflexión, la de negocio. ¿Puede un negocio perder el acceso a su información durante semanas? Es más ¿Tiene algún valor esa información que lleva semanas sin actualizarse? En muchos casos a pesar de ser capaz de restaurar toda la información y volver al punto de origen la organización ya estará tocada de muerte. Claramente no es el caso de EDP puesto que es una compañía industrial cuyo “core” de negocio no se ha visto afectado y sus sistemas críticos OT están aislados, pero sí es el caso de muchas otras compañías, especialmente en el sector servicios.

-Entonces ¿Qué hacemos? ¿Pagamos el rescate?

Curiosamente, eso es indiferente. Desde el punto de vista técnico, los ficheros que estén cifrados habría que desencriptarlos y también estaríamos hablando de un proceso igualmente costoso en tiempo (suponiendo que el secuestrador nos diese la clave tras el pago, que eso está por ver)

-¡Oh Dios mío estamos perdidos! ¡Registremos los datos en papel!

Tranquila voz de mi cabeza. No volvamos al medievo todavía. Cada vez que se quema un bosque en verano oímos la misma cantinela de los expertos: “los incendios se apagan en invierno”. En el mundo IT la solución es la misma: inversión, prevención y monitorización “en invierno”. Hay que invertir en los sistemas más seguros posibles para evitar los incidentes antes de que ocurran, pero también hay que ser capaces de saber que ataques estamos recibiendo en todo momento (no solo los exitosos, también los fallidos), tenemos que saber exactamente cuál es nuestra exposición, tenemos que conocer cuáles son nuestros sistemas fundamentales para dar nuestro servicio y debemos tener un plan de continuidad de negocio por si todo lo demás falla.

En resumen: hay que protegerse lo mejor posible, pero como la seguridad total no existe, también hay que monitorizar todo continuamente para cuando la intrusión ocurra detectar esa actividad anómala lo antes posible y que el impacto sea gestionable, porque no es lo mismo recuperar 1 Gb que 1 Pb.

Pudes leer también el artículo pinchando aquí.

Deja una respuesta

Tu dirección de correo electrónico no será publicada. Los campos obligatorios están marcados con *

diecinueve + 8 =