[Alumnos] Cortes de internet entre los días 25 y 27 de marzo.

Decanato FCAG decanato en fcaglp.fcaglp.unlp.edu.ar
Dom Mar 29 10:01:47 ART 2015 

Estimados,
les hago llegar el informe que la Comisión de Informática de FCAG me 
hiciera llegar para su difusión, respecto de los cortes de internet que 
sufrimos entre los días 25 y 27 de marzo.


Estimados todos,

deseamos informarles sobre las causas de los cortes en el servicio de internet los dìas 25,26 y 27 de marzo.
Los mismos se produjeron:

25/03/2015: de 9 a 10:45 hs.
26/03/2015: de 8:30 a 10 hs. y desde las 15:30 en adelante.
27/03/2015: corte hasta las 10:00 hs. con cortes parciales en el edifico central hasta las 11:00 hs.

         Una computadora del edificio central fue vulnerada y utilizada 
para generar una ataque de denegación de servicio (DoS/DDoS) en el 
exterior de la Universidad.

         El ingreso fue por fuerza bruta sobre ssh, la cuenta de root tenia 
una passwd fácilmente quebrable. La passwd fue encontrada el 22/03 a las 
17:33 hs.

         El 23, 24 y 25 instalaron software (malware) para realizar el ataque.

         Cuando el ataque comenzó, dejo sin internet a toda la  UNLP, 
motivo por el cual CeSPI corto preventivamente el servicio de Internet de la Facultad.

         El miércoles la máquina cesó el ataque y no pudo ser detectada. 
Recién el viernes creamos las condiciones como para detectarla y 
desconectarla de la red.

         Debido al inconveniente que causó en la Universidad, el equipo fue 
requerido por el CERT-UNLP (Computer Emergency Response Team) para una 
auditoría.

La principal causa en la demora para detectar la computadora en cuestión 
es que el equipamiento que hacía de router (ahí se analiza el tráfico) 
dejó de funcionar a fines de 2014. En forma provisoria se continúa 
realizando esta tarea con un equipo de CeSPI sobre el que no tenemos 
control, ni tiene la capacidad de hacer análisis de tráfico.
La reposición del router está en curso.

Ahora unas breves recomendaciones, que contribuirán a mejorar la seguridad 
de todos  los equipos:

-Los usuarios de linux, utilicen claves de root que tengan combinaciones 
de letras, números y símbolos, para hacerlas difíciles de crackear. Se 
sugiere configurar el servidor ssh de manera que no permita
   loguearse como root. Además, sería muy útil que instalen el software 
fail2ban, que de manera automática monitorea y rechaza ataques sobre ssh.
Quienes tengan distribuciones basadas en debian pueden hacer:

sudo apt-get install fail2ban

y con esto el equipo ya queda protegido.

Los usuarios de Windows deberían mantener actualizados los patches de 
seguridad y firewalls.

Saludos,

Comisión de Informática


Dra. Alicia Cruzado
Decana de la Facultad de Ciencias Astronómicas y Geofísicas
Universidad Nacional de La Plata
Paseo del Bosque s/n, B1900FWA, La Plata, Argentina
FAX +54-221-4236591 - TEL +54-221-4236593

Más información sobre la lista de distribución Alumnos