4ª entrega del año del hacker: redes sociales fueron un anzuelo

El Gerente Regional de Centro America-Caribe-Colombia y Especialista en Virtualización de Trend Micro, Ruddy Simons-LLauger,menciona que una de las lecciones que debemos aprender de los ataques de 2011 es que aunque las empresas  trabajaron en proteger a sus activos digitales como software y hardware con diversas herramientas y mecanismos entre los figuraban potentes Firewalls y DMZ su seguridad fue traspasada.

Los hacker traspasaron los muros de seguridad de las organizaciones con métodos pocos convencionales. ( Foto cortesía de Trend Micro).

Entre los tipos de ataques  sufridos por las empresas figuran DDoS, inyección SQL, red de bots, spear phising, generación de algoritmo de los MS Points y técnicas de ingeniería social, entre otros.

Según Simons las empresas se han protegido “bien” contra los piratas informáticos tradicionales y  contra los ataques desde el exterior, pero lo que no consideraron es lo siguiente: ¿qué pasa si alguien obtiene acceso a recursos dentro de la organización y usa al servidor o la red de desktop interna para enviar información afuera a través de HTTP cifrado para no ser detectado?

Para muestra está lo sucedido en el ataque a la red de Play Station de Sony, donde un servidor estaba comprometido para tomar esta información y enviarla. Luego el ataque se perpetró desde un servidor alquilado en Amazon.

En los otros casos de ataques durante el año pasado, algunos  usuarios de forma inocente hicieron un clic en un archivo adjunto de algún correo electrónico con lo cual le abrieron las puertas a los atacantes.

Un riesgo que se ha vuelto más latente con el uso de las redes sociales, ¿la razón?  a los atacantes les es fácil identificar a las víctimas que ocupan puestos claves en las empresas, así que les envian un mensaje, un archivo adjunto malicioso o enlace malicioso.

Evaluaciones de Trend Micro han encontrado que más de 90% de las redes de las empresas contienen malware malicioso que está activo. Por lo cual el especialista recomienda evaluar cuáles son las políticas corporativas en relación a la seguridad y educar a los miembros de la empresa con respecto a la protección de datos para minimizar los riesgo.

Por ejemplo estudiar el uso de las redes sociales debido a que los usuarios comparten demasiada información por medio de ellas, lo que cual propicia ataques de “ingeniería social”, ¿cuál es la razón de uso? determinar qué informaciónla empresa compartirá,  evaluar si  alguna vez se ha llevado al interior de las organización una campaña social de sensibilización acerca de las amenazas para educar al personal acerca de los efectos negativos de revelar información o acerca de la comprobación via clip de facebook.

De acuerdo a Simons,  se debe reconsiderar y evaluar el modelo de seguridad, porque los  casos demuestran que el pensamiento tradicional de protección con un perímetro de defensa ya no funciona más.

1ª entrega del año del hacker: saltaron los muros de seguridad

Los hackers traspasaron en 2011 las fronteras de seguridad informática de prestigiosas empresas e instituciones de Gobierno que pregonaban con orgullo sus sistemas que en teoría eran impenetrables y difíciles de burlar. Sin embargo, la realidad mostró una rostro diferente, hasta noviembre se habían perpetrado 67 ataques.

Una vez los hacker adentro de los sitios Web y redes han hecho los que les plació. S in embargo, aún con las puertas abiertas los ataques  hubieran sido de mayores proporciones y heredado múltiples dolores de cabeza a las organizaciones si los hackers si lo hubieran propuesto.

Los representantes de las empresas han tenido que agachar la cabeza y aceptar las fallas en sus sistemas de seguridad, en el grupo de organizaciones que fueron violados sus sistemas de seguridad han desfilado de todos los tipos y rubros.

Las hay desde las famosas por el entretenimiento como Sony hasta las que en teoría tendrían los estándares de seguridad más altos como el Pentágono, la CIA, el Ministerio de Defensa de Estados Unidos y la firma de seguridad Black & Berg Cybersecurity Consulting, incluso este último  había dispuesto un premio de 10 mil dólares a quién lograra atacar su “infranqueable” Web.

Según la ingeniera Rosario Ortiz, profesora de la cátedra de Seguridad Informática de la Universidad de El Salvador, aún con las medidas implementadas para resguardar los datos el error ha estado en violaciones a la seguridad perimetral y en menor medida la seguridad lógica y la seguridad física.

En los ataques se han utilizado técnicas sofisticadas que jamás, por lo visto, pasaron por la cabeza de los encargados de la seguridad de la información de las organizaciones. Por ejemplo,  para el ataque a la red de Play Station de Sony alquilaron servicios en la nube desde Amazon. Un servidor estaba comprometido para tomar esta información y enviarla.

Entre los tipos de ataques  sufridos por las empresas e instituciones de Gobierno figuran DDoS, inyección SQL, red de bots, spear phising, generación de algoritmo de los MS Points y técnicas de ingeniería social, entre otros.

2ª entrega del año del hacker: los ataques más famosos

La vulnerabilidad en la mayoría de ataques perpetrados en 2011 a organizaciones privadas y de gobierno a nivel mundial ha radicado en que las empresas consideraron sólo la seguridad perimetral pero descuidaron la seguridad lógica y la seguridad física , según la ingeniera Rosario Ortiz, profesora de la cátedra de Seguridad Informática de la Universidad de El Salvador.
 Enero
1.    Anonymous ataca sitios web del gobierno tunecino.
2.    Anonymous arremete contra sitios web del partido irlandés Fine Gael.
3.    Anonymous tumba la web del Senado español.
4.    Goatse Security se apropia y publica información de 120.000 usuarios de AT&T  en los iPad de Apple.

Febrero
5.    Anonymous usa DDoS para atacar a portales gubernamentales egipcios.
6.    Anonymous agrede al contratista de seguridad HBGary.
7.    Hacker chinos roban información de siete compañías petrolíferas.
8.    Violan seguridad de servidores del gobierno canadiense desde China.
9.     ‘The Jester’ tumba los sitios de la secta Westboro Baptist.
10.     Anonymous ataca Koch Industries.
 Marzo
11.    Desconocidos infectan malware en terminales de Android.
12.    Desconocidos estafan a Microsoft 1,2 millones de dólares generando el algoritmo de los MS Points.
13.    Anonymous ataca a Bank of America.
14.    Ministerio francés sufre un ciber ataque.
15.    La firma de seguridad RSA Security es atacada.
16.    Los programas de la NASA recibieron trece ataques de hackers.
 Abril
17.    Atacan a Epsilon Data Management LLC con lo cual se revelan datos de usuarios de US Bank; TiVo, Inc. (TIVO); JPMorgan Chase & Co. (JPM); Verizon Communications, Inc. (VZ); Capital One Financial Corp. (COF); Marriott International, Inc. (MAR); the Ritz-Carlton Hotel Company LLC; Citigroup, Inc. (C); Brookstone, Inc.; McKinsey & Co., Inc.; the Kroger Comp. (KR); Walgreen Comp. (WAG); India’s Jet Airways (BOM:632617); Kraft Foods Inc. (KFT); Best Buy Co., Inc. (BBY); Robert Half International Inc. (RHI); and Ameriprise Financial, Inc. (AMP).
18.    bancos y cooperativas de crédito en la parte noreste de Ohio sufren ataques causados  por la interceptación de CVV2 códigos de las tarjetas de seguridad y un esquema de phishing.
19.    PlayStation Network de Sony es atacada.
20.    Hackers violan la seguridad de Estados Unidos.
21.    Irán sufre un segundo ataque cibernético.
22.    Petrobras de Brasil experimenta un ciber ataque perpetrado por LulzecBrazil.
23.    LulzecBrazil ataca a sitio Web del ejército de Brasil.
24.    LulzecBrazil atenta contra sitios en Internet de cuatro ministerios de Brasil.

Mayo
25.    La seguridad de las bases de datos de SOE es violada.
26.    El sitio de Sony es atacado por medio del buscador de Google Search.
27.    El programa Factor X de la cadena FOX es agredido por LulzSec.
28.    LulzSec entra al sitio Web de la cadena televisiva FOX.
29.    LulzSec entra a las bases de datos de ATM en el Reino Unido.
30.    Apple Inc. anuncian que computadoras fueron infectadas con un troyano.
31.    Grupos desconocidos roban 1.220 dólares en moneda virtual de 128 cuentas de Sony de propiedad del proveedor de servicios Internet (ISP).
32.    El Hacker “k4L0ng666” desfigura sitio web de Sony Music de Indonesia por medio de inyección SQL.
33.    Hacker “b4d_vipera” daña 8.500 registros de la página web de Sony BMG Grecia, a través de inyección SQL.
34.    LulzSec divulga contenido de sitios web de la  japonesa de Sony a través de un ataque de inyección SQL.
35.    Sony Canadá pierde  2000 registros en un ataque de inyección SQL perpetrado por  grupo de hackers Idahc libanés.
36.    PBS (Public Broadcasting Service) es atacado por LulzSec después de mirar la cobertura mediática de Wikileaks.  Los Hackers divulgaron nuevas historias, desfazaron la página y causaron estragos en los servidores.
37.    La información robada de RSA es usada para penetrar a los servidores de Lockheed Martin Corp. (LMT) se sospecha de una conexión china.
Junio
38.    El sitio web de Sony Pictures es atacado por Lulz Security.
39.    Desconocidos atacan a BMG en Holanda y Bélgica con inyección SQL.
40.    Infragard y el FBI es atacado por LulzSec.
41.    Anonymous ataca servidores en Yemen.
42.    El sitio web de Sony Pictures es atacado por Lulz Security.
43.    LulzSec consigue entrar a la web de la firma de seguridad Black & Berg Cybersecurity Consulting.
44.    Anonymous ataca servidores oficiales en Turquía.
45.    Desconocidos  atacan al Fondo Monetario Internacional (FMI).
46.    Un grupo denominado “Anonymous India” ataca la web del ejército indio.
47.    Anonymous tumban la web de la Policía Nacional española.
48.    LulzSec entra a equipos del desarrollador de videojuegos Bethesda Softworks .
49.    LulzSec entra a algunos servidores del senado estadounidense.
50.    LulzSec  arremete contra servidores de la revista The Escapist.
51.     LulzSec entra a los servidores del contratista de software Finfisher.
52.     LulzSec irrumpe a los servidores de EVE Online.
53.    LulzSec ataca servidores de Minecraft.
54.    LulzSec penetra en los servidores de League of Legends.
55.    LulzSec vulnera la seguridad del sitio de  la CIA.
56.    Hackers de LulzSec atacan a proveedor de TI del Pentágono
57.    El sitio Web del diario hondureño El Libertador fue atacado.
58.    La página de Internet de la Superintendencia de Administración Tributaria (SAT) de Guatemala.

Julio
60.    Antisec en su campaña de pirateo ataca a la página web de Apple.
Agosto
61.     Sitios web de Guatemala sufrieron un ataque coordinado por un grupo de hackers.
Septiembre
62.    Gran ataque hacker de Anonymous a Facebook.
63.    La Registraduría Nacional del Estado Civil de Colombia confirmó el primer ataque de ‘hackers’ al sitio web de la entidad.
64.    Atacan sitios en Nicaragua de fundación “Hagamos Democracia”, Hotel Holiday Inn y la empresa de zonas franca de Granada, Kaltexargus.
Octubre
65.    Obtienen acceso e información de 90.000 cuentas privadas de correos electrónicos de políticos, celebridades y periodistas, así como de 57 sitios web hackeados donde incursionaron en 200.000 cuentas de usuarios.
Noviembre
66.    Atacan a  siete sitios oficiales de El Salvador entre los que si incluye Casa Presidencial, los ministerios de Economía y de Seguridad y la Asamblea Legislativa.
67.    Ataque hacker de Anonymous a Facebook.

3ª entrega del año del hacker: software, hardware y humanos son la clave

El sistema de redes es uno de los puntos más atractivos para los atacantes informáticos.

Los ataques en 2011 por parte de hackers y activistas a los sitios web  y redes de diversas organizaciones como Sony, Citibank, Apple, FMI y el Pentágono donde fueron vulnerados sus sistemas seguridad informática aun con la inversión de estas organizaciones.

Vadin Corrales, de sistemas ingenierías de Fortinet, detalla que la seguridad es un conjunto de sistemas, procesos, procedimientos, técnicas, actualizaciones y políticas. Si alguno de éstos falla o deja de mantenerse o  actualizarse, la red se hará vulnerable. Por lo tanto cualquiera que tenga un tiempo podrá tomar control de alguna vulnerabilidad que pueda encontrar en una red.

Según el experto de Fortinet esto es precisamente lo que sucedió con estas empresas: alguien encontró una falla  a nivel de hardware o software.  Sacó provecho y ganó acceso a la red,  donde pudo tener la oportunidad de perpetrar el ataque, en algunos casos sucedidos en 2011 sacaron información confidencial y en otros solo ingresaron para obtenera la satisfacción de hacer pasar un mal rato ala empresa en cuestión.

Vadin sostiene que la seguridad es un conjunto de muchas cosas, entre ellas los equipos  a nivel de perímetro y físico. Por ejemplo el Firewall Perimetral (UTM), Antivirus, IDS/IPS, DLP, Application Control y  VPNs, entre otros .

Menciona también que se incluye el software que va en los equipos, así como las actualizaciones de sistema operativos y de servicios (firmas de IPS, AV, vulnerabilidades, etc), así como el factor humano.

“Todos estos componentes deben funcionar a la vez, si uno falla, es probable que alguien esté esperando para tomar control de la red a través de este descuido” enfatiza.

Una empresa puede tener el mejor Firewall (UTM) pero si no tiene las actualizaciones de servicios, es casi como si no tuviera nada  incluso alardear de contar con el mejor sistema operativo pero si no hay informes de pruebas de vulnerabilidades que indiquen que parches deben aplicarles o que firmas de IPS/AV deben activarse mientras se hace la actualización, los sistemas seguirán teniendo “fallas”, algo de lo cual pueden aprovecharse los atacantes.

El ingeniero de Fortinet afirma que lo mismo sucede con las personas, si existe toda una infraestructura lógica y física de seguridad, pero no hay una política interna de utilización y  acceso a la red, de comportamiento y uso de recursos; se corre el riesgo que las personas harán que todo lo bueno de los equipos y la infraestructura falle al final.

Las aplicaciones , mecanismo más recientes que pueden poner en práctica las organizaciones para el resguardo de la información en particular en Endpoint, Cloud Computing,   servidores de archivos compartidos y bases de datos son diversas así como  los controles de seguridad se pueden aplicar.

Para todo los tipos de organizaciones es importante tomar en cuenta que las amenazas en algunos casos han cambiado o evolucionado pero que  no olviden que las clásicas siguen existiendo por ejemplo SQL Injection o Cross site Scripting.

Es necesario considerar los componentes y las características de seguridad que se adecuen a la necesidad de las empresas. Pero para Vadin los puntos principales serían:

  • UTM (Unified Threat      Management) que incluyen soluciones como Firewall, IPS, Application      control, antivirus, VPN, Web Filter, DLP y Administración de      Vulnerabilidades, como mínimo.
  • Si la red tiene partes inalámbricas la     solución debe incluir un controlador de Wireless para extender la seguridad que se mantiene en la red tradicional de cable a la red   inalámbrica, pero sin perder ninguna de las características de la primera. Este dispositivo debe tener una comunicación permanente y dedicada con los controles de Endpoint  para que no haya posibilidad de que una amenaza interna o    externa en el caso de los que acceden a la red a través de VPN) pueda afectarla. Estos dispositivos pueden incluso asegurar las redes de  sistemas virtualizados donde se puede dividir la responsabilidad entre un    UTM de perímetro y un UTM Virtual para los servidores basados en esta tecnología.
  • En cuanto a las bases de datos es importante saber lo que se está haciendo, cómo lo están haciendo y  quién lo está haciendo, ya que muchas veces solo el administrador tiene  control de lo que sucede en los sistemas, y a veces solo lo sabe quien le  da mantenimiento y no quien la administra. Un componente de administración de vulnerabilidades permite saber cuales son las vulnerabilidades de las bases de datos y qué  hacer para solventarlas.
  • Si la organización posee aplicaciones Web, es vital tener un componente que sea capaz de actualizar firmas de      ataques, entender la estructura de la aplicación (sin necesidad de ser un experto), que pueda revertir automáticamente cualquier cambio al sitio principal de la compañía sin intervención, tenga capacidad de  SSL offloading, balanceo e incluya un componente de  administración de vulnerabilidades especializado en aplicaciones Web, con lo cual se completaría un esquema de red seguro para cualquier organización .

El experto de Fortinet concluye que estos componentes de seguridad sumados a una política interna de control, comportamiento y utilización de recursos, hará que cualquier red, incluyendo aquellas que están disponible en la nube, puedan mantener alejados, lo más posible, a aquellos que buscan una oportunidad de penetrar y ganar control de la información protegida.