En julio de 2015, la compañía italiana conocida como The Hacking Team fue hackeada. Se extrajeron más de 400GB de datos, mismos que se publicaron en el dominio público, incluyendo correos electrónicos, documentos de diseño, contratos legales, facturas y documentos similares.
Esta semana, un hacker anónimo publicó una guía a la cual tituló “Hack Back! – A DIY Guide”. En este documento el autor parece atribuirse el ataque de 2015, expone sus razones y ofrece recomendaciones a otros individuos afines. Lo que esto nos ofrece es una idea de la cronología del ataque y con ella algunas lecciones objetivas para reducir la probabilidad y el impacto de ataques similares en el futuro.
Algunos de los puntos relevantes que se desprenden de este reporte son los siguientes:
Defensa a fondo. Se trató de un ataque dirigido y tenía la intención de entrar hasta el fondo. Este tipo de amenaza necesita enfrentarse preguntando ‘¿cuándo?’ y no solamente ‘¿sí?’ Una vez dentro de la red de la compañía, el hacker logró atravesar su infraestructura sin mucha dificultad. Proteger los mecanismos internos de una infraestructura organizacional es igualmente importante. Reducir los servicios dentro de la red de una compañía es esencial para reducir aquellos que están presentes en el mundo exterior.
Monitoreo y evaluación. Los registros de los firewalls pueden emitir una advertencia avanzada sobre estos tipos de ataques. Los mapas de redes, el análisis y la enumeración de puertos podrían ser contrarrestados por el firewall y los Dispositivos de Prevención de Intrusiones (IPS), pero no monitorear y evaluar los datos que producen es perder los Indicadores & Advertencias (I&Ws) que pudieran indicar que probablemente algo está por suceder.
Actualizaciones y parches. Sin duda, las actualizaciones y los parches son esenciales. El atacante pudo explotar una vulnerabilidad conocida dentro del sistema de gestión de redes Nagios. Lo que resulta interesante es que el atacante supo del sistema Nagios solo después de que “espiaron” a los administradores de sistemas, tal como se menciona más adelante.
Separe las redes pero ¡Conozca su red! Este ataque fue posible debido a que las redes de respaldo y de gestión que deberían haber estado separadas y no lo estaban. La separación de las redes operativas y de gestión es una técnica esencial para proteger a la infraestructura, especialmente cuando la red que gestiona requiere de privilegios administrativos. En este ataque, el adversario pudo interrogar y descargar las imágenes de respaldo del servidor de correo.
Vigile y proteja a los privilegiados. Con frecuencia decimos que uno de los mayores desafíos es monitorear a quienes tienen cuentas privilegiadas. Muchas organizaciones, especialmente las de gobierno, requieren de acreditaciones de seguridad para protegerse contra la “amenaza interna”. Sin embargo, lo que este incidente nos enseña es que una vez dentro, los chicos malos van directo a los administradores de sistemas para monitorear sus actividades con el fin de conocer y entender mejor a la compañía y su infraestructura. Hay un ligero cambio de mentalidad aquí, ¿no deberíamos estar monitoreando a los usuarios privilegiados y a sus estaciones de trabajo? No por el hecho de que no confiemos en ellos, sino por su propia protección y para asegurarse de que tampoco sean vigilados por quienes husmean las redes, por key-loggers y otros personajes similares.
Monitoreando lo que sale. Una observación final es que se filtraron muchos datos. ¿Por qué nadie se dio cuenta? Esto ocurre con mucha frecuencia en los ataques donde la propiedad intelectual es el objetivo. La implementación de una solución de Prevención de Robo de Datos o de Pérdida de Datos (DTP/DLP) y el monitoreo, reducirán la probabilidad y el impacto potencial de este tipo de ataques.
Por Andy Settle, Jefe de Investigaciones Especiales de Forcepoint