DESDE EL BLOG DE WEBSENSE SECURITY LABS:
La séptima etapa es la coronación de la cadena de ataques cibernéticos, y dependiendo de sus motivos,
el atacante suele estar ansioso por llegar a la etapa del robo de datos. En
general las etapas previas ayudan al atacante a lograr su objetivo. Se sabe que
los atacantes hacen grandes esfuerzos para ocultar sus rastros y llegar a esta
etapa. En algunos casos han llegado a ocultarse en la red durante meses o años
antes de exfiltrar grandes cantidades de datos. Sin duda los hackers son cada
vez más astutos y más sofisticados. Además, en cuanto a las amenazas internas, las
primeras seis etapas de la cadena de ataque cibernético podrían ser opcionales
ya que el usuario interno malicioso es privilegiado y ya tiene cierto nivel de
acceso en el entorno.
El robo de datos puede servir para fines de chantaje,
espionaje y beneficio económico, entre otros. Los datos robados pueden ser
información financiera (por ejemplo, números de tarjeta de crédito, datos de acceso
a cuentas bancarias), información personal que también puede emplearse para
obtener ganancias (número del seguro social, fecha de nacimiento, etc.), datos
de inicio de sesión, claves y contraseñas privadas, registros médicos,
propiedad intelectual (código fuente, secretos comerciales, etc.) y la lista
continúa. Cada violación de la seguridad de los datos es diferente, ya que
varían los motivos de los atacantes. En general, salvo que el hacker haya
fracasado en su objetivo o el objetivo sea simplemente la destrucción, podría afirmarse que las
violaciones de la seguridad de datos implican cierta forma de robo de datos.
Una pregunta interesante es ¿dónde terminan todos
estos datos robados? Pueden permanecer en poder del hacker para siempre, como
probablemente sea el caso de los atacantes de sitios oficiales gubernamentales
y otros atacantes sofisticados. Sin embargo, grandes cantidades de datos
terminan en la comunidad clandestina para su venta, o a veces incluso en el
dominio público como demostración abierta del ataque.
El siguiente ejemplo muestra un caso reciente en que
se volcó al dominio público información de identificación personal que incluye
nombres, direcciones, números de teléfono, fechas de nacimiento y números de
tarjetas de crédito junto con sus códigos de seguridad y sus fechas de
vencimiento.
¿Recuerdan el ataque cibernético a Sony Pictures Entertainment el año pasado? Los atacantes hicieron públicos
cientos de gigabytes de información confidencial, lo que causó una pérdida
financiera significativa y graves daños a la reputación de la compañía. Además,
robaron claves privadas. Estas contraseñas son sumamente sensibles y se las usa
en conexiones SSL/TLS, SSH y otras conexiones cifradas empleadas para proteger
la comunicación. Existen diferentes tipos de claves privadas entre las que se
incluyen contraseñas PuTTY .ppk y archivos PKCS #12.
Fragmento
de la lista de archivos robados en el ataque a Sony Pictures Entertainment de
noviembre de 2014, donde se muestran los archivos de claves privadas .ppk.
Si esto no resulta suficientemente
aterrador, hay más: los datos de inicio de sesión siempre son valiosos para los
intrusos tanto para lograr acceso adicional como para obtener ganancias. En
Linux, los archivos básicos que almacenan esa información son los archivos "passwd"
y "shadow". Su equivalente en Windows es el SAM DB. Estos tres
archivos almacenan los nombres de usuario y las contraseñas cifradas en un hash en formatos diferentes pero
específicos que permiten que un sistema de seguridad de datos los identifique
como tales mediante una expresión regular.
Ejemplo
de un archivo de base de datos de un administrador de cuentas de seguridad (SAM)
en un sistema Windows que almacena las contraseñas de los usuarios en formato
hash, ya sea como LM o NTLM.
Una vez que los hackers obtienen las
contraseñas en formato hash pueden
descifrarlas usando un ataque de fuerza bruta o listas de palabras. Muchas herramientas para
descifrado de contraseñas se consiguen de manera gratuita en línea, que se
suman a herramientas como "John the Ripper" y "RainbowCrack”,
que genera tablas Rainbow.
El ejemplo anterior indica los
resultados que arroja un archivo SAM ejecutado a través de “John the Ripper”.
Las contraseñas sencillas como “ROOT” y “1234” se descifraron en segundos. La clave
del administrador sólo se descifró en forma parcial porque se detuvo la
ejecución manualmente de manera muy rápida.
Los hackers acceden y roban muchos otros archivos sensibles que no
están contemplados en forma directa por normas y leyes como la HIPPA o la PCI.
Los archivos de configuración y la información de procesos también pueden ser
de gran valor para los atacantes. Por lo tanto, cumplir con las normas no
significa que no habrá violaciones de la seguridad de los datos. Más bien podría
decirse que cumplir es sólo una parte del proceso de mitigación de riesgos.
El robo de datos es la fase final de
muchos ataques cibernéticos. La etapa del hurto de datos finaliza la cadena del
ataque cibernético. Con defensas de seguridad insuficientes los
ciberdelincuentes pueden robar propiedad intelectual, información de
identificación personal y otra información valiosa para obtener ganancias
financieras y para usarla en otros ataques. Sin embargo, incluso en esta etapa
existen defensas para proteger los datos confidenciales. Websense® TRITON® AP-DATA ofrece soluciones para la
prevención de pérdida de datos (DLP) y prevención de robo de datos (DTP). Una
estrategia de mitigación de riesgos adecuada, comenzando por la identificación
de los activos que desean protegerse más la aceptación del riesgo residual, es
clave a la hora de elevar los estándares para protegerse de los atacantes. La
recompensa final sin duda resulta atractiva para los atacantes, y los esfuerzos
por aumentar los estándares de seguridad seguramente ayudarán a reducir el
riesgo.
Para obtener más información por favor visite el
blog de Websense Security Labs:
No hay comentarios:
Publicar un comentario