Curso de cyber seguridad (3era parte). Yahoo también es víctima de hackers.

curso de cyber seguridad

Luego de la introducción y de la segunda parte en la que vimos los ataques de denegación de servicio, hoy vamos a analizar una de la peores pesadillas de los encargados de seguridad informática: intrusión en tus sistemas.

Un rato antes de publicar esta nota, nos encontramos con un mail de Yahoo. En su correo nos advertían que habían sufrido un ataque. Si hacen esto con una corporación como Yahoo, vayan tomando nota lo que puede pasar a otras empresas que no son “tan expertas” en seguridad e Internet.

La nota en cuestión decía lo siguiente:

==============================================================

NOTICE OF DATA BREACH

Dear Yahoo User,
We are writing to inform you about a data security issue that may involve your Yahoo account information.

What Happened?

A copy of certain user account information was stolen from our systems in late 2014 by what we believe is a state-sponsored actor. We are closely coordinating with law enforcement on this matter and working diligently to protect you.

The stolen user account information may have included names, email addresses, telephone numbers, dates of birth, hashed passwords (the vast majority with bcrypt). In some cases, encrypted or unencrypted security questions and answers. Not all of these data elements may have been present for your account. The ongoing investigation suggests that stolen information did not include unprotected passwords, payment card data, or bank account information. Payment card data and bank account information are not stored in the system that the investigation found to be affected.

We are asking potentially affected users to promptly change their passwords and adopt alternate means of account verification. We invalidated unencrypted security questions and answers so they cannot be used to access an account.

We are recommending that all users who haven’t changed their passwords since 2014 do so. We continue to enhance our systems that detect and prevent unauthorized access to user accounts. We are working closely with law enforcement on this matter.

We encourage you to follow these security recommendations:

Change your password and security questions for any other accounts on which you used the same or similar information used for your Yahoo account. Review your accounts for suspicious activity. Be cautious of any unsolicited communications that ask for your personal information or refer you to a web page asking for personal information. Avoid clicking on links or downloading attachments from suspicious emails. Additionally, please consider using Yahoo Account Key, a simple authentication tool that eliminates the need to use a password altogether.

Sincerely,
Bob Lord
Chief Information Security Officer Yahoo

==============================================================

 

Sin entrar en detalles de lo que le paso a Yahoo (probablemente ni ellos sepan) vamos a hablar de lo que es una intrusión.

Una intrusión en el sistema es cualquier ataque que involucre la entrada en la red.

 

Esto incluye una amplia gama de técnicas, que incluyen: la inyección SQL, las secuencias de comandos en sitios cruzados, entre otras.

El motivo de las intrusiones varía ampliamente. A menudo, los delincuentes informáticos ingresan en los servidores de Internet tan sólo para desfigurar los sitios por razones políticas. Del otro lado, se encuentran casos como el reportado por que Shawn Henry, (director ejecutivo asistente del FBI), quien describió hace poco el caso de una empresa que sufrió la intrusión y pérdida de 10 años de investigaciones y desarrollo valuadas en USD 1000 millones, de la noche a la mañana.

Se dice que existe o se produjo una inyección SQL cuando de alguna manera se inserta o “inyecta” código SQL invasor dentro del código SQL programado. Esto a fin de alterar el funcionamiento normal del programa y lograr así que se ejecute la porción de código “invasor” incrustado, en la base de datos.

Este tipo de intrusión normalmente es de carácter malicioso, dañino o espía. Por tanto es un problema de seguridad informática, y debe ser tomado en cuenta por el programador de la aplicación para poder prevenirlo. Un programa elaborado con descuido, displicencia o con ignorancia del problema, podrá resultar ser vulnerable, y la seguridad del sistema (base de datos) podrá quedar eventualmente comprometida.

La intrusión ocurre durante la ejecución del programa vulnerable. Ya sea, en computadores de escritorio o bien en sitios Web, en este último caso obviamente ejecutándose en el servidor que los aloja.

XSS, del inglés Cross-site scripting es un tipo de inseguridad informática o agujero de seguridad típico de las aplicaciones Web. Permite a una tercera parte inyectar en páginas web visitadas por el usuario código JavaScript o en otro lenguaje script similar.

Este tipo de vulnerabilidad se conoce en español con el nombre de secuencias de órdenes en sitios cruzados. Es posible encontrar una vulnerabilidad XSS en aplicaciones que tengan entre sus funciones presentar la información en un navegador web u otro contenedor de páginas web. Sin embargo, no se limita a sitios web disponibles en Internet, ya que puede haber aplicaciones locales vulnerables a XSS, o incluso el navegador en sí.

XSS es un vector de ataque que puede ser utilizado para robar información delicada, secuestrar sesiones de usuario, y comprometer el navegador. Asi subyugar la integridad del sistema. Las vulnerabilidades XSS han existido desde los primeros días de la Web.

Así como el ciber crimen se ha vuelto más lucrativo, quienes lo cometen han perfeccionado sus técnicas. De acuerdo con un artículo publicado en el periódico Washington Post, en la actualidad el crimen organizado es responsable de la mayor parte de las filtraciones de información. Hoy en día, los delincuentes informáticos están altamente calificados y suelen disponer de medios económicos. Sus ataques son sistemáticos y detallados.

Existen tres factores principales que impulsan la creciente sofisticación técnica de los grupos de delincuentes informáticos:

 

  1. La creciente presencia del crimen organizado,
  2. El aumento de los grupos patrocinados por el gobierno,
  3. La existencia de nuevas técnicas de ataque introducidas por los paquetes de software adaptados como “armas”.

 

En la actualidad, los grupos de crimen organizado (en especial, Europa del Este) entienden que la delincuencia informática es una profesión. Al mismo tiempo, se ha consolidado una industria en torno a este tipo de delitos.

Existen mercados clandestinos donde es posible contratar toda clase de recursos y calificación. Es factible alquilar por hora, día, semana, o mes las redes de bot y otros recursos necesarios para un ataque.

Los delincuentes informáticos que cuentan con el conocimiento pertinente ofrecen sus servicios como trabajadores independientes. Asimismo, se ofrecen los programas maliciosos (malware) personalizados de la mano de sus creadores y sin intermediarios, que suelen ser tecnológicamente de avanzada.

El cibercrimen patrocinado por el gobierno es el segundo factor que ha incrementado la profesionalización de la delincuencia informática. En especial, China tiene un vasto programa que busca de robo de tecnología proveniente de Occidente.

Los informes de los medios de comunicación acerca de la delincuencia informática extranjera tienden a centrar su atención en los sistemas de armas de alto nivel. Por ejemplo el moderno avión de caza F-35 de los EE.UU. (secretos que China robó). Ademas que están igualmente interesados en las actividades de las empresas privadas.

Según un artículo del periódico New York Times, “ellos han robado los documentos borrador del producto, los planes de fabricación, los resultados de los ensayos clínicos, cotizaciones, estrategias de negociación y otras informaciones confidenciales” de muchas empresas importantes, como Coca Cola, RSA, Scheider Electric y Lockheed Martin.

Un ejemplo de los servicios ofrecidos en los sitios de delincuentes informáticos rusos podemos ver en Russian Underground 101, Trend Micro Inc. y allí encontramos encontramos cosas tales como:

  • Servicio de programación; Perl, PHP, C, Java, etc.
  • Troyano para el robo de cuenta bancaria
  • Seguridad web sin esfuerzo.
  • Troyano para el reemplazo de información de una página web ubicada en el navegador de un cliente
  • Troyano para el sistema de transferencia WebMoney Keeper
  • Control de tarjeta de crédito
  • Puerta trasera (Backdoor)
  • Correo no deseado para LiveJournal
  • Versiones falsas de diferentes programas
  • Paquete v. 1.6.2 Eleonore Exploit

 

El software adaptado como “arma” es el tercer factor de creciente sofisticación de programas maliciosos. En los últimos años, han habido varias instancias en las que los gobiernos atacaron a naciones rivales mediante el uso de software, tales como Stuxnet (el gusano informático que afecta a equipos con Windows y que destruyó gran parte del programa nuclear de Irán), y otras aplicaciones relacionadas.

Muchos expertos sostienen que se esperaba que estas aplicaciones se borraran a sí mismas luego de haber realizado su trabajo pero, por varias razones, esto no sucedió. De cualquier modo, se descubrieron estos programas y, hoy en día, se han distribuido copias en todo el mundo.

Entonces si eres un genio de la computación puedes tomar este armamento adartarlo y decir ‘Ah, cambiemos esto aquí y allá’ y ahora, tengo un arma realmente sofisticada. Pronto miles de personas en todo el mundo la tienen y están jugando con ella. Podemos decir que fue la mejor arma cibernética que los Estados Unidos han desarrollado, y luego se la regalaron al mundo entero sin costo.”

Estos paquetes de software adaptados como “armas” son muy avanzados e incluyen múltiples técnicas de ataques nunca antes vistas. En la actualidad, se las estudia en detalle y las bandas criminales las adaptan para su uso en los ataques privados contra las empresas. Se trata de una tendencia muy ominosa.

Para darles una idea gráfica de cuan interesante es para los piratas informáticos esta actividad, miren las tendencias e importancia de los ataques y como crecen segun el reporte de http://www.informationisbeautiful.net/visualizations/worlds-biggest-data-breaches-hacks/ .

Porqué las defensas tradicionales no son adecuadas?

Las contramedidas tradicionales contra la intrusión suelen involucrar hardware in situ o soluciones de software.

Los problemas que se presentan son numerosos:

  • La gran variedad de amenazas requiere un sin número de productos. Es difícil elegir una combinación de productos óptima que defienda, de manera adecuada, contra todas las posibles amenazas. Asimismo, también se desafía al equipo de expertos para que opere y mantenga apropiadamente una serie de productos de software y hardware de proveedores diferentes.
  • El entorno de la amenaza evoluciona de manera constante. Estar actualizado en las formas más modernas de ataques es imperativo a fin de mantener las defensas adecuadas, si bien el personal de las empresas suele tener dificultades para lograrlo.
  • Las soluciones pueden tener vulnerabilidades en sí mismas. Los dispositivos de seguridad y los paquetes de software son complejos. Por su naturaleza, están siempre en contacto directo con los delincuentes informáticos quienes, a su vez, buscan las debilidades de los sistemas en todo momento, suelen tener éxito y dar con ellas.

    Es necesario que los proveedores de servicios procuren revisiones, si bien éstas pueden no estar disponibles rápidamente. Aun cuando se introdujeran correcciones con celeridad, es posible que las empresas no las implementan de manera inmediata, quizás porque el personal de TI no está atento a las modificaciones, o existe una pobre comunicación con el proveedor, o la decisión de un ejecutivo retrasa las actualizaciones (típicamente por la reticencia a modificar la infraestructura de la web durante un período de intensa actividad y de grandes ganancias, como durante las ventas de navidad en el caso de los sitios de comercio electrónico).

 

Sin importar la razón, mientras los problemas no encuentren solución en tus defensas, tus activos son vulnerables.

Es preciso contar con formación continua para el personal in situ de las empresas. Mientras los proveedores de seguridad actualizan sus productos, resulta indispensable que el personal reciba capacitación continua para mantener actualizadas las habilidades adquiridas.

Por todos estos factores, (y otros) en la actualidad estas deficiencias dificultan la actuación de sistemas de seguridad.

 
banner580
 

 
 
app 300

Te gusta latamisrael.com?

Si respondiste “si” Apoyanos tambien en Twitter.
 

Siguenos en Google plus