Lo que encontramos detrás de un hack memorable
Hace unas semanas apareció en Security by Default un conjunto de hacks memorables en los que se presentan casos reales de intrusión en sistemas informáticos. Más allá del fenómeno anecdótico que rodea cada uno de los casos expuestos debemos fijarnos en las causas y consecuencias de dichos hacks.
Si analizamos los casos vemos una serie de características fundamentales en todos los casos expuestos. principalmente se da un entorno de empleado cabreado que usa su conocimiento de la empresa para hacer el mal.
- Conocimiento de contraseñas de administrador
- Conocimiento de la empresa y sus infraestructuras críticas
- Ejercicio de responsabilidades críticas sin supervisión
- Acceso y disponibilidad de material crítico sin supervisión
De hecho, desde un punto de vista técnico yo los definiría más de «accesos indebidos» que de hacks y nos sirven para ejemplificar algunas práticas necesarias que nos aportan seguridad:
- Establecer políticas estrictas de control y supervisión de actividades críticas. Depender de una persona te hace vulnerable y a más responsabilidad ejercida más dependencia.
- Establecer políticas de gestión de permisos de acceso y credenciales estrictos. Además de dar las altas deben cursarse las bajas y cambiar las contraseñas apropiadamente.
- Implantar sistemas o procesos que eviten puntos críticos en la información de la empresa. Guardar en diferentes sedes copias de seguridad, no permitir accesos físicos indebidos.
- Documentar y gestionar la información. Repartir las responsabilidades en grupos de trabajo de forma que el conocimiento del sistema no sea exclusivo y se minimice la dependencia. Forzar a que se documenten los cambios.
«/etc/init.d/».$_ stop foreach (@coches); Sea una concesionario de coches de alquiler. Dichos vehículos están provistos por la empresa de un sistema que permite selectivamente apagar el motor de los coches si los compradores/o personas que los alquilan, no pagan a fin de mes las cuotas correspondientes. Un empleado de TI despedido decide que como medida de protesta, accede a los sistemas se la empresa (del cuál se sabe la contraseña) que permiten habilitar el mecanismo de corte de corriente de arranque de todos los coches de la flota.
Nuevo McMenu; ahora con WIFI (y celda) gratis: Otra compañía que despide a un individuo vengativo de malas maneras. El individuo decide atacar a su ex-compañía, intentando acceder mediante ataques de fuerza bruta o diccionario, a través de sistemas de conexión remota a las redes de la misma. Le cuesta tiempo y esfuerzo, pero finalmente logra acceder con un usuario válido. El tipo conoce perfectamente la infraestructura de la compañía y decide borrar del mapa 15 virtual hosts con información crítica de la compañía. Para realizar la fechoría utiliza una red wireless gratuita ofrecida por un McDonalds. De esta manera, el individuo pensó que sus acciones permanecerían en el mayor de los anonimatos. Quizá habría sido más fácil si hubiera pagado su McMenú con dinero en efectivo en vez de con su tarjeta de crédito, 5 minutos antes de llevar a cabo el ataque.
#./dominar_el_mundo.pl: Un empleado con solera, de los que llegó a ser la estrella de la compañía en su día, años atrás, harto de su actual situación en la que la sangre nueva lo ha ido apartando, piensa que próximamente va a ser despedido y decide planificar una venganza «le-gen-daria».Durante el suficiente tiempo, el fulano en cuestión se va llevando a casa TODOS los backups realizados en cinta, y metódicamente va eliminando su contenido. Según se van haciendo backups nuevos, él los borra y vuelve a dejar las cintas en su sitio. Así, espera a que el momento del despido llegue… y éste, no tarda en llegar. Cuando esto pasa, antes de irse deja una bomba lógica (en 6 líneas) lista para activarse en determinada fecha y…. Fin de la historia. Efectivamente, se cepilló toda la información de valor de la compañía, y no hay backup. Por lo visto, fue el fin de aquella compañía… y bueno, también el del protagonista vengador de esta historia que se pegó tres años a la sombra y se le exigió el pago de una multa de – atención – «2 millones de dólares».