Semana de la seguridad 41: investigación censurada, Outlook Web Access hackeado, pérdida de datos de suscriptor

En esta edición del boletín de la Semana de la Seguridad, cubriremos tres casos de compañías hackeadas, fuga de datos, y la reacción de las empresas a estos incidentes.

Hoy tenemos la edición corporativa especial de nuestro boletín de noticias semanal, el cual se lo dedicaremos al ROI, EBITDA, TCO, IFRS, CRM, SLA, NDA, GAAP y a los “me gusta”. Es broma – como siempre, hablaremos de las noticias de seguridad más importantes de la semana. Todo lo ocurrido esta semana, de una u otra manera, es relevante para la seguridad corporativa. Cubriremos los casos de las empresas que están siendo hackeadas, las fugas de datos y las reacciones de las empresas de cara a estos incidentes.

security-week-41-man

¿Cuál es la diferencia entre la seguridad del usuario final y la seguridad corporativa? En primer lugar, mientras los usuarios disfrutan del lujo de soluciones de seguridad relativamente sencillas, la seguridad de las corporaciones es algo muy complejo – debido a diferentes razones, pero sobre todo por la complejidad de su infraestructura IT. En segundo lugar, para poder proteger una infraestructura corporativa de las amenazas, las políticas particulares deberían aplicarse en todos los niveles de la organización.

En fin, ¿cómo están actuando las empresas en términos de seguridad? Para ser honestos, no muy bien. Por ejemplo, Gartner cree que en tres años las compañías gastarán un 30% del presupuesto en seguridad. Además, el enfoque de la vieja escuela, del acceso basado en los diferentes roles, el cual solía ser la piedra angular de la seguridad corporativa, es irremediablemente obsoleto. Actualmente el 90% del esfuerzo se centra en la prevención de las brechas del perímetro y solo un 10% en la detección y en respuesta.

https://twitter.com/CiscoEnterprise/status/652566712383107072

Esto significa que, una vez que el intruso logra infiltrarse en la infraestructura, se encuentra en un ambiente muy cómodo, lo cual suele tener consecuencias devastadoras para la víctima. Por lo tanto, la recomendación de Gartner para cambiar esta relación a 60/40, tiene sentido. Por ejemplo, nuestro informe sobre Carbanak, una campaña notoria contra los bancos y organizaciones financieras, demostró que el criminal pasó desapercibido en este “10%” de la zona por mucho tiempo.

Las ediciones previas de la Semana de la Seguridad las puedes encontrar aquí.

La App de la Web de Outlook como el punto de entrada a la infraestructura corporativa

Noticias. Investigación por Cyberseason. Retroalimentación de Microsoft.

Si alguien hackea a uno de muchos PCs corporativos, compromete a la máquina y saca la información, ¿cuál sería el resultado del hacker? Si es el portátil de un empleado, el culpable podría robar datos de trabajo importante y posiblemente otra información de los servidores de archivos a los que suele tener acceso el empleado.

Pero la campaña sería mucho más “eficiente” si la vigilancia se instalara en el ordenador de un jefe o un administrador, que normalmente tienen mayores privilegios. El acceso no solicitado a un servidor de mail estaría comprometido con una enorme cantidad de datos enviados a través del mail. Un informe preparado por Cybereason prueba que el cielo mail no es el límite.

Como suele suceder, la razón no estaba en alguna vulnerabilidad en la App de la Web de Outlook (también conocida como Web Access, Exchange Web Connect y Outlook en la web – Microsoft ha cambiado los nombres de estos programas cuatro veces en 20 años). Los atacantes robaron (probablemente a través de phishing) las credenciales de inicio de sesión de un administrador e inyectaron una DLL malicioso (¡no firmado!), obteniendo así acceso tanto al correo como al Active Directory. De esta manera, los hackers fueron capaces de enviar correos electrónicos desde cualquier empleado.

También se encontró otra embebida  en el servidor ISS, monitorizando las conexiones al webmail. La investigación demostró que los culpables vigilaban quién, cuándo y dónde se conectaba al mail. Los investigadores le indicaron a Microsfot que un binario sin signo podía ser ejecutado fácilmente en un servidor de One Web Acces, pero Microsoft aseguró que si hubiera estado bien configurado, el sistema no hubiera permitido que esto sucediera.

Lo que sea que eso signifique, es secundario. En pocas palabras, esto es lo que tenemos hasta la fecha:

– Un servicio accediendo a Internet e Intranet por diseño.

– La falta de seguridad por parte del especialista de IT (le robaron el nombre de usuario y contraseña directamente  a él y a no a cualquier empleado corriente).

– Configuración fallida del servidor, la cual permitió la instalación de una puerta trasera sin problemas.

– Inhabilidad para detectar una brecha durante mucho tiempo.

security-week-41-FB

Solo queríamos lanzar el parche…

 

Lo que tenemos de base es un montón de problemas que deberían solucionarse por separado. Curiosamente, la integridad de datos en Active Directory, está bien, y este servicio está bastante protegido (aunque, hay algunos ejemplos de cuando este vector de ataque fue utilizado). Sin embargo, existe la probabilidad de un método de compromiso menos obvio a través del enlace más débil.

Los datos de quince millones de suscriptores de T-Mobile fueron robados a través del hackeo de un proveedor

Noticias. Divulgación por Experian, víctimas del ataque. Declaración oficial de T-Mobile.

Permíteme incluir una pequeña introducción. En Estados Unidos, la mayoría de suscriptores de móvil firman un contrato a largo plazo con un operador, el cual incluye ambos, un plan de datos/voz y un dispositivo (móvil, smartphone, o tablet). Parece una opción muy conveniente: consigues un dispositivo nuevo por poco dinero o incluso por nada, pero por otro lado, no puedes cambiar a otro operador hasta que tu contrato actual expire.

Este enfoque presupone que tu credibilidad como pagador, será verificado por el operador, al igual que como lo hacen con los préstamos bancarios. Para poder solicitar este proceso, un operador debe investigar en una oficina de crédito local. En la historia de la fuga de T-Mobile, esta oficina de crédito local era Experian, y fue hackeada.

De acuerdo a la divulgación, el acceso no solicitado fue un “caso aislado por un periodo de tiempo limitado”, sin embargo dio lugar a la supuesta fuga de datos de 15 millones de suscriptores de T-Mobile durante un período de 2 años. Para hacer justicia, ambas compañías manejaron la divulgación de una manera muy abierta y adecuada. Ambos publicaron una descripción acertada y detallada sobre la brecha en sus páginas web.

A aquellas víctimas cuyos datos se vieron comprometidos, se les ofreció un servicio de monitoreo de crédito gratis. Este caso demuestra un progreso significativo en términos de procesos post-brechas, si lo comparamos con el debacle de Target, cuando sufrió una fuga de 40 millones de credenciales de tarjetas de pago, limitándose a una declaración corta de “ya hemos solucionado el problema”.

En el caso de T-Mobile, los datos de tarjetas de crédito se mantuvieron intactos, sin embargo otra información personal, incluyendo nombres, direcciones, carnés de conducir, etc., fue comprometida. El CEO de T-Mobile aseguró que la información había sido “parcialmente” encriptada– queriendo decir, no muy bien cifrada.

security-week-41-haha

Y van y dicen: “¡Nuestros datos están cifrados!”.

Esta historia hace referencia sólida al problema de privacidad. Los burós de crédito deben saber muchísimo sobre sus clientes y reciben esta información de todos lados. Además, venden datos adquiridos a otras compañías por mucho dinero, y sus compradores no siempre son compañías mundiales famosas y respetables. No es la primera vez que Experian tiene problemas con los datos de sus clientes.

Hubo un incidente que no fue para nada el resultado de una brecha: una vez un chico vietnamita se hizo pasar por un investigador privado de Singapur, pagó legalmente por servicios de Experian y vendió los datos personales de 200 millones de americanos a una cantidad de grupos de cibercriminales especializados en el robo de identidad.

Esto es horroroso. Por ejemplo, para poder cambiar una contraseña olvidada en una cuenta de Amazon, se debe introducir la dirección postal, fecha de nacimiento o número de seguridad social – y todo esto lo manejan compañías como Experian.

Una cosa más: los datos son más vulnerables en tránsito de una compañía a otra – solo porque sus pólizas de seguridad y soluciones pueden variar.

Los proveedores de cámaras de seguridad bloquean la divulgación de vulnerabilidades, amenazan con demandar al investigador

Noticias. Claves de la investigación.

Gianni Gnesa, un investigador de la compañía Suiza, Ptrace Security, preparó un informe para la conferencia de HITB GSEC en Singapur, en la cual planeaba cubrir algunos aspectos de las vulnerabilidades de las cámaras de seguridad. Sin embargo, esto nunca sucedió. Su investigación incluía ejemplos de vulnerabilidades en varios modelos de cámaras IP de tres proveedores (ahora, nunca sabremos quién).

Nadie hubiera podido adivinar cómo evolucionaría la situación: Gianni envió informes de bugs a los proveedores, correspondientes a la rutina habitual con sus equipos de seguridad, y luego anunció su intención de presentar las vulnerabilidades en una conferencia y buscó la aprobación de su investigación. Luego los chicos de IT desaparecieron repentinamente y fueron reemplazados por abogados corporativos que le sugirieron a Gianni que no hiciera pública su investigación, o de lo contrario habrían consecuencias.

security-week-41-cat

 

 

 

 

 

 

 

 

 

Desafortunadamente, no es la primera, ni la última vez que pasa esto. La razón es simple: la diferencia entre un sombrero negro y un sombrero blanco, por sentido común es obvio (el último “no hace daño”) y no desde un punto de vista tan legal. Un gran ejemplo es el Wasenaar Arrangement – un régimen de control de exportación internacional de buen uso doble y tecnologías.

En diciembre 2013, el Parlamento Europeo incluyó un software de intrusión a esta lista. La idea de “hackear para hacer el bien” es dualista, pero en este caso, por lo menos los reguladores consideraron que los desarrolladores de tal software (como el notorio Hacking Team) son más discriminativos al elegir a sus clientes.

Sin embargo, las reglas de Wassenaar definen prácticamente cualquier cosa como “software de intrusión”. No crearía ningún obstáculo para los chicos malos, pero les complicaría la vida a los chicos buenos”, por ejemplo, el trabajo de los pentesters (los que llevan a cabo los test de penetración) se vería seriamente debilitado por la nueva regulación. Como resultado, HP se vio forzado a rechazar la participación en el hackathon PWN2OWN en Japón, por el hecho de que la presentación de los investigadores de HP en el extranjero pudiera ser considerada el caso de “exportación de uso doble y tecnologías”.

Qué mal. Si es difícil con corporaciones, en términos de legislación es incluso peor. La motivación detrás de las restricciones de las divulgaciones por parte de los proveedores es algo entendible: si encuentras la manera de deshacerte de un problema de esa manera, ¿por qué no aprovecharla? Pero ¿cómo impactaría la seguridad de los productos?

https://twitter.com/GianniGnesa/status/650665942112968704

No estoy diciendo que el enfoque de “divulgar todo” sea mejor que el enfoque de “restringir todo”: en algunos casos, la divulgación irresponsable de las vulnerabilidades críticas de hardware o software podría ser contraproducente para los usuarios. Lo más óptimo, una vez más, se encontraría entre estas dos extremidades.

Qué más ha pasado:

Es todo muy muy malo – con la ciberseguridad en las comodidades de energía nuclear. Échale un vistazo al post del blog de Eugene.  La lección aquí es la siguiente: si crees que existe un air gap entre tu infraestructura crítica e Internet, piensa de nuevo. Igual te equivocas.

Gartner continúa prediciendo el futuro. Mira esto: en 2018, tendremos que crear máquinas para controlar máquinas, como también manejar a todos los dispositivos IoT (Internet de las Cosas) manualmente será algo imposible (no podría negar el hecho de haber pasado la mitad de mi fin de semana intentado manejar tan solo cuatro Raspberry Pis).

Además, la gente podría trabajar con jefes robots, y los rastreadores de fitness no se usarían para el fitness, sino para controlar tus actividades diarias. ¡Valiente Nuevo Mundo! Bueno, esto es lo que te espera para poder mantener tu trabajo, ya que las empresas de rápido crecimiento emplearán más robots que gente en tan solo tres años.

Los drones se pueden hackear (quién no estaría de acuerdo con esto). Tradicionalmente, cada nueva generación de dispositivos es susceptible para todo tipo de “problemas de seguridad primerizos”, al igual de susceptible que los niños a la varicela. En este caso, los drones emplean protocolos de conectividad inseguros, los cuales no utilizan ningún tipo de autorización.

Oldies

La familia Himno

La familia de virus residente. Normalmente, infecta archivos COM y EXE en ejecución, al cerrarlos, al renombrarlos, o al cambiarle los atributos. Si el número del mes coincide con el del día, como enero 1 (01.01) o febrero 2 (02.02), los virus destruyen una parte de la información del sistema en el sector de arranque del disco C. Luego descifran y muestran una imagen:

security-week-41-hymn

Después, ponen el himno nacional de la URSS, al mismo tiempo anulando bytes del sector de arranque, el cual contiene un número de bytes por sector, un número de sector por grupo, un número de copias del FAT, etc (en total 9 bytes). Una vez que los cambios están aplicados en el sector de arranque de un equipo MS-DOS, éste ya no arrancaría, desde el disco duro y la unidad de disco flexible. Para restaurar la información, se debe programar su propio reinicio breve o utilizar servicios especiales. El Himno-1962 y el Himno-2144 también cifran su cuerpo.

Citado de “Virus informáticos en MS-DOS”, de Eugene Kaspersky, 1992. Pág. 36. 

Aviso legal: Este artículo refleja únicamente la opinión personal del autor. Usted puede coincidir con la posición de Kaspersky Lab, o no. Depende de la suerte.

Consejos