Recibí un correo electrónico el día anterior de mi ISP (una universidad). El correo electrónico dice (en parte):
Su conexión de red se ha deshabilitado porque su versión de Java no está parcheada para las vulnerabilidades de seguridad más recientes. Esto deja tu computadora abierta para atacar. Si estas vulnerabilidades no son parcheadas, su computadora podría estar bajo el control de un pirata informático.
No tengo Java instalado en mi máquina, por lo que me pareció un falso positivo obvio. Me puse en contacto con ellos y recibí una respuesta indicando que:
Nuestro sistema detecta automáticamente estas vulnerabilidades, y los falsos positivos son raro.
Parece que están ejecutando exploraciones automatizadas contra hosts en la red para intentar identificar versiones antiguas de Java (y probablemente otro software). Parece extraño que me identificaran ya que:
-
Bloqueo todo el tráfico entrante excepto ICMP y el puerto 22 (SSH); las pruebas realizadas después del incidente confirman que el cortafuegos funciona correctamente tanto en LAN como en WAN
-
Todo mi tráfico vinculado a Internet se enruta a través de un túnel OpenVPN cifrado a un servidor remoto. Confirmé después del incidente que todo el tráfico, incluido el DNS, se está enrutando a través de este túnel (según lo previsto).
Con el fin de evitar futuros falsos positivos, ¿qué tipo de métodos se utilizan normalmente para este tipo de análisis de vulnerabilidad automatizados? Mi interés se refiere específicamente a software como Java que no se ejecuta en segundo plano ni actúa como un servidor.
Algunos antecedentes:
-
Mi sistema ejecuta Debian estable. Ningún JDK o incluso JRE está (o ha estado) instalado en el sistema.
-
El ISP está en una posición para monitorear todo el tráfico o ejecutar escaneos, pero no para acceder a mi computadora de ninguna manera. Nunca instalé ningún software del ISP ni me lo pidieron.