Alliance Healthcare es el cuarto mayor proveedor de medicamentos de España (suyo es el 10% del mercado) y desde el fin de semana (aunque no se supo hasta ayer), también la víctima de un ciberataque que hizo caer tanto su página web (que sigue inaccesible) como sus sistemas de facturación y de pedidos, lo que está causando el caos en muchas farmacias, que ya han empezado a darse de baja en la empresa.
|
etiquetas: alliance healthcare , ciberataque , farmacias
algo en seguridad se podrian haber gastado.
Es simple motivación economica, unos secuestran personas y otros sistemas informáticos.
Si llevan desde el fin de semana así, siendo hoy viernes, es que no tenían ni un puto backup bien hecho.
Cómo mucho podrían amenazar con difundir la información que tienen (Que no es poca cosa), pero sinceramente, aunque pagaras, la acabaran difundiendo igual
www.elespanol.com/omicrono/software/20230316/microsoft-advierte-rusia-
Vamos, que esto no lo hacen dos chavales desde casa, sino que hay gente bien trajeada que invierte en estas movidas.
Lo más probable es que no sea nada de eso y simplemente se les haya colado un virus "generalista" sin objetivos concretos. O incluso que hayan tocado algo desde dentro, se haya roto y le echen la culpa a un presunto "ataque".
Pero sin más información todo es especulación, no se sabe qué puede ser.
Cuando ocurren cosas empiezan las lamentaciones y las prisas.
Hace años este tema me afectaba un poco pero ahora que estoy muy trillado y la conversación típica es:
Fulanito: Hola menganito, tenemos un problema que necesita soporte urgente.
Yo: Hola Fulanito, ¿que ha sucedido?
Fulanito: Nos han secuestrado los datos/una gotera ha inundado el servidor/el perro se ha comido el disco duro.
Yo: Bueno restauramos la ultima copia de seguridad y listo.
FUlanito: Lo que pasa...... es que nos hemos dado cuenta que la ultima copia es de hace cuatro meses.
Yo: Ha, pero eso es por los datos perdidos no son importantes.
Fulanito: Son importantísimos, la empresa depende de ello.
Yo: No creo que sean importantes, si así lo fueran tendrían varias copias incrementales al día en otra ubicación geográfica con redundancia. Y por supuesto estaría probado el procedimiento de recuperación.
Son empresas que apuestan en el casino de las fatalidades y el tiempo va en su contra. Desgraciadamente son la mayoría.
Hubo un hacker que consiguio acumular una botnet de decenas de miles de nodos.
Simplemente usando un script que llame a ips publicas al azar, si te contesta un equipo hardware conocido (webcam, router, centralita...) responde scon una bateria de exploits conocida. Incluida probar los usuarios/contraseñas por defecto (sep, hay gente que los deja abiertos a internet con las credenciales por defecto). Si cuela, instalan el malware y ya tienen un nodo mas.
No hace falta ni grandes tecnologia ni una gran inversion. Solo paciencia e ingenio.
www.youtube.com/watch?v=_IPeU2upbaw
He vivido la situación en otra empresa y aunque se siguió trabajando en papel hubo que dedicar muchas horas a trasladar esa información al sistema y hacer un inventario, mucha gente ni sabía usar los formularios "analógicos" en papel que se habían digitalizado
Lo mas probable es eso, que sea una pagina web abierta a internet donde se loguean con el tipico usuario-contraseña. Para protegerte ante un ataque DDOS, tendrian que pagar la cobertura de algun servicio CDN decente, cosa que quizas no esten haciendo.
Es un asco que haya gente con tanto talento dedicándolo a tocar las narices y hacer daño al prójimo
trabajo --> nube 1
un ordenador privado, desconectado de los otros del trabajo, con acceso a nube 1 y nube 2 y un cron --> copiar de nube 1 a nube 2
nube 2 está aislada y mantiene las copias
Además de la copia offline, por supuesto.
¿está bien así?
Si tú atacas un sistema front, vale, lo tiras, pero el impacto se queda ahí, y dado el caso, si quieres, lo cortas en el middleware. El impacto no se transmite a otros sistemas. Que se te ha caído el front web, bueno, pues puedo seguir funcionando en persona, por teléfono, correos electrónicos u otros canales. Pero es que artículo dice que no funcionan los sistemas de facturación y pedidos, que son back, y que están haciendo las cosas "a mano".
Otra cosa sería si quedara probado que fue un ataque a medida, no contrarrestable con técnicas habituales, por motivaciones politicas o economicas y que afecte directa o indirectamente al público. En ese caso estaría de acuerdo en que quizás pueda considerarse terrorismo, es que si no es llamarle terrorismo a cualquier cosa
Si es como dices pues son lo peor, informáticamente hablando, solo tenían un canal y además no estaba suficientemente aislado de los back.
Estamos con reglas de seguridad y acceso a datos de los años 80 y 90 y desde tiempos del IloveYou, Blaster y Sasser esas medidas no valen para una puta mierda debido al ubícuo acceso a internet.
Se debería primar primero la seguridad en el acceso a recursos y también el aislamiento de estos, eso de primeras. Lo segundo, todos los backups offline, punto. Ni nube ni hostias. Servidores in situ.
Y por supuesto todo virtualizado, que para oficina ya nadie necesita algo más que un thin client.
Y por último, correos en texto plano y obligación de mandar todos los adjuntos en ZIP descartando el resto configurándolo en el MTA y/o MUA.
Luego con este ambiente y el precio de los LTOs y los robots de cintas quien convence al jefe....
Mi hijo de 10 años siempre me corrige, se lo explique cuando tenia 7-8 años y se le quedo grabado.
La unica forma de parar un DDOS es usando un CDN decente (pagando). Otra forma no lo veo.
Libramos gracias a las copias de seguridad y a un detalle adicional del NAS: archivo que cifraban, desde el ordenador al que accedieron, archivo que se iba a la carpeta "recycled" a la que ese ordenador no tenía acceso, al sustituirse por la copia cifrada. Al final reconstruir el NAS fue cosa de unas horas.
Pero todas las copias accesibles desde el ordenador hackeado las cifraron o borraron, la nube a la que accedía la cifraron (lo mismo, todo a papelera), etc. Al final se reinstaló hasta el sistema operativo porque no nos fiábamos de poder dejarlo todo limpio. Y así y todo, se perdió algo de información.
Desde entonces: copia lunes/miércoles/viernes/mensual/trimestral/semestral/anual todas completas (no incrementales) y separadas. Además de la diaria en HDD USB y a mi casa conmigo.
Paranoico? Puede... pero duermo mejor.
La otra opción, es contratar lo que tu llamas CDN, que en ningún momento he dicho que sea gratis.
Si tienes los servidores en tus instalaciones, tendrás unos costes operativos de servicio dedicado de Internet, y podrás asumir 500€/mes por un Anti DDoS, y si los tienes en la nube, no tienes que preocuparte.
Al único que han hecho daño con un DDoS en los últimos años es a Andorra Telecom porque no tenía nada.
Lo sabemos cuatro informaticos y nuestro familiares y amigos que tienen que aguantarnos la brasa.
La ruta? Pero que ruta vas a anular? Un DDOS precisamente se caracteriza porque viene trafico de alrededor de todo el mundo y no es trivial saber que parte del trafico es real y cual del atacante.
AWS, que es el proveedor cloud mas grande de la industria, solo ofrece proteccion basica contra algunos tipos de exploits DDOS. Si quieres algo bueno que mitigue de verdad, tienes que pagar su servicio Shield Advanced que cuesta de 3000 dolares hacia arriba. Eso, o contratas Cloudflare.
Me llama la atencion que digas eso, que lo paras con la punta de pie, o que si lo tienes en la nube no tienes que preocuparte. No hijo, sino estas pagando explicitamente por una proteccion DDOS. Es como sino lo tuvieras.
Saludos.
Los proveedores anti DDoS "virtuales" trabajan estableciendo sesiones BGP contra ellos, ellos no anuncian ninguna ruta salvo que tus sistemas (o los suyos si quieres) detecten un ataque. No anulas ninguna ruta, haces que el rango de Ips que está recibiendo el ataque, pase por su sistema de absorción.
Imagina que tu proveedor maneja todas las IPs del 10.0.0.0/16, tu IP es la 10.0.5.33 y empieza a recibir un ataque. Automáticamente se detecta -o de forma manual- y se anuncia la ruta 10.0.5.0/24 por BGP (en BGP los prefijos menores de /24 no se propagan, con excepciones).
Todo el que quiera acceder al /24 en el que está tu IP, es redirigido a un punto, normalmente París o Frankfurt por tener mucha capacidad, es filtrado por el proveedor anti DDoS y te reenvían el tráfico limpio/legítimo a tu red.
Ya te digo, una de las cosas a las que me dedico es esto precisamente, hace 10 años un DDoS de 5 Gbps te tiraba un operador entero, ahora se reciben cientos de ataques al día (y mucho más grandes) sin enterarte.
PD. Si quieres investigar más te doy un nombre: Netscout, la recomiendo (aunque no es mi única bala)
Sin saber nada de programación acabe entrando en bastantes servidores o copias de seguridad de empresas tochas.
A los que conocía personalmente les avise y iba de cracker experto (en broma evidentemente) y a las empresas que no conocía solo les avisaba pero siempre me contestaba de que culpa del informático. Algo que cabrea bastante.
Algunos me pedían servicios para mejorar su seguridad, cuando les decía que no soy un experto en el tema pero podría ofrecerles otros servicios, estaban dispuestos contratar cualquier cosa solo para estar en su junta de dirección.
Fue algo divertido hace 10 años o más.
Si tienes un servicio de internet dedicado, normalmente te dan un /28 como mínimo y en RIPE suelen poner que son para ti, por lo que estás vendido.
No tenemos servicio de Internet "dedicado". Todo nuestros servicios están alojados en AWS.