1

Weekend: Enseñanzas sobre “Hacking Team” no son tomadas en cuenta

La fecha 5 de julio de 2015. El país, Italia. La empresa, The Hacking Team. Esta empresa fue hackeada y se extrajeron más de 400 GB de datos que se publicaron en el dominio público, incluyendo correos electrónicos, documentos de diseño, contratos legales, facturas y documentos similares. Uno de los ciberataques más destructivos e importantes de la historia.

CIO América Latina| Mario A. Beroes Ríos| @marioberoes22

Esta semana, un hacker anónimo publicó una guía a la cual tituló “Hack Back! A DIY Guide”. En este documento el autor parece atribuirse el ataque a esa empresa, cuyas destructivas ramificaciones se extendieron a varios países del orbe. En dicho portal el hacker, expone sus razones y ofrece recomendaciones.

Andy Settle, jefe de Investigaciones Especiales de Forcepoint, explica que de esta debacle deben aprenderse “algunas lecciones objetivas para reducir la probabilidad y el impacto de ataques similares en el futuro”. Añade el directivo que el hacker hace una defensa a fondo del ataque, “algo que no tendría por que estrañarnos”.

Settle afirma que se trató de un ataque dirigido “y tenía la intención de entrar hasta el fondo”. Concuerda que este tipo de amenaza necesita enfrentarse preguntando ‘¿cuándo?’ y no solamente ‘¿sí?’

-Una vez dentro de la red de la compañía, el hacker logró atravesar su infraestructura sin mucha dificultad. Hay que proteger los mecanismos internos de una infraestructura organizacional, y es igualmente importante el reducir los servicios dentro de la red de una compañía.

El otro aspecto a tomar en cuenta, según Settle es el monitoreo y evaluación. Afirma que los registros de los firewalls pueden emitir una advertencia avanzada sobre estos tipos de ataques, aspecto que debe ser tomado en cuenta..

“Los mapas de redes, el análisis y la enumeración de puertos podrían ser contrarrestados por el firewall y los Dispositivos de Prevención de Intrusiones (IPS), pero no monitorear y evaluar los datos que producen es perder los Indicadores & Advertencias (I&Ws) que pudieran indicar que probablemente algo está por suceder”.

Actualizaciones y parches

Para el jefe de Investigaciones de Forcepoint, las actualizaciones y los parches son esenciales. El atacante pudo explotar una vulnerabilidad conocida dentro del sistema de gestión de redes Nagios. Lo que resulta interesante, en su opinión es que el atacante supo del sistema Nagios solo después de que “espiaron” a los administradores de sistemas, tal como se menciona más adelante.

“Separe las redes pero ¡Conozca su red! Este ataque fue posible debido a que las redes de respaldo y de gestión que deberían haber estado separadas y no lo estaban. La separación de las redes operativas y de gestión es una técnica esencial para proteger a la infraestructura, especialmente cuando la red que gestiona requiere de privilegios administrativos. En este ataque, el adversario pudo interrogar y descargar las imágenes de respaldo del servidor de correo”.

“Vigile y proteja a los privilegiados. Con frecuencia decimos que uno de los mayores desafíos es monitorear a quienes tienen cuentas privilegiadas. Muchas organizaciones, especialmente las de gobierno, requieren de acreditaciones de seguridad para protegerse contra la “amenaza interna”. Sin embargo, lo que este incidente nos enseña es que una vez dentro, los chicos malos van directo a los administradores de sistemas para monitorear sus actividades con el fin de conocer y entender mejor a la compañía y su infraestructura”.

Añadió que existe un ligero cambio de mentalidad. Y se pregunta: “¿no deberíamos estar monitoreando a los usuarios privilegiados y a sus estaciones de trabajo? No por el hecho de que no confiemos en ellos, sino por su propia protección y para asegurarse de que tampoco sean vigilados por quienes husmean las redes, por key-loggers y otros personajes similares”.

-Una observación final es que se filtraron muchos datos. ¿Por qué nadie se dio cuenta? Esto ocurre con mucha frecuencia en los ataques donde la propiedad intelectual es el objetivo. La implementación de una solución de Prevención de Robo de Datos o de Pérdida de Datos (DTP/DLP) y el monitoreo, reducirán la probabilidad y el impacto potencial de este tipo de ataques.

Mario Augusto Beroes Ríos

Periodista graduado en la UCV en la mención Audiovisual.