jueves, abril 09, 2015

Barack Obama Contraataca tras el Hackeo de la Casa Blanca

Si has estado siguiendo las noticias en los medios de comunicación durante esta semana, te habrás topado con las informaciones que hablan del hackeo de los equipos de la red de la Casa Blanca del que se han llevado datos tan singulares como la agenda de trabajo del presidente Barack Obama. Siempre según las informaciones que el gobierno de Estados Unidos ha dado, los datos no confirman que detrás del ataque esté ningún gobierno, pero sí que hay indicios suficientes como para hacer pensar que detrás de el ataque hay un equipo ruso.

Figura 1: Barack Obama contraataca tras el hackeo de la Casa Blanca

Revisando la información que se ha dado sobre cómo se ha producido el ataque parece que, una vez más, todo comienza con el robo de una cuenta de correo electrónico de una persona del Departamento de Estado de USA que utilizaron para hacer ataques de Spear Phising a empleados de la casa blanca y conseguir robar credenciales de acceso a un servidor de la Casa Blanca "Unclassified", del que conseguirían sacar todos los datos que han sido filtrados.

Spear Phishing o Spoofing de correo electrónico

El ataque de Spear Phishing, no es más que un ataque de Phishing Dirigido a unas pocas - o a una sola - persona de una organización. Es una prueba de seguridad que debes realizar en tu empresa cuando estás haciendo una fortificación de la seguridad, ya que en las grandes organizaciones siempre hay alguien que acaba siendo víctima de estos correos. El ataque de Spear Phishing lo hemos visto en muchos de los ataques a actrices en el famoso Celebgate, en la intrusión dentro de la red de Sony Pictures o en el hackeo del proveedor de DNS de la web de RSA Conference.

Figura 2: El ataque a la RSA Conference comenzó con un Spear Phising
a empleados de la empresa registradora del DNS

Para hacer un ataque de Spear Phishing, según cuentan las fuentes oficiales de este caso concreto, se utilizó una cuenta de correo electrónico "secuestrada", pero viendo las políticas anti-spoofing que tiene el dominio de state.gov es más que probable que no hubiera hecho necesario tener esa cuenta, ya que al consultar el registro SPF del dominio se puede comprobar que NO hay una política antispoofing ni por SPF ni DKIM, lo que favorece a que cualquiera pueda enviar correos electrónicos con el dominio state.gov suplantando una dirección y sea difícil para los servicios antispam/antispoofing del receptor del correo saber si es auténtico o falso. 

Figura 3: No hay registros SPF ni DKIM en los DNS de State.gov

Una vez que se tiene la cuenta inicial, el resto del camino suele ser fácil si la empresa no tiene sistemas de seguridad internos. Sistemas IDS (Instrusion Detction Systems) de red que detecten anomalías en el tráfico de red, agentes HIDS (Host IDS) que detecten anomalías en el uso de los servidores, sistemas de DLP (Data Loss Prevention) que detecten el movimiento del flujo de la información o sistemas de autenticación fuerte en los sistemas internos de la organización y las identidades que se utilizan en múltiples Intranets, que a día de hoy sigue siendo el punto más débil de las grandes organizaciones ya que siguen contando con infinidad de sistemas internos que se basan única y exclusivamente en accesos con Usuario/Contraseña siendo el objetivo perfecto para ataques de Spear Phishing.

Por si fuera poco todo esto relativo a incidentes con la Casa Blanca, el presidente Barack Obama [junto con otros dignatarios del G20] sufrió una pérdida de datos personales al enviarse por error un correo electrónico con datos personales como el número de teléfono, el número de pasaporte y direcciones de correo personales, tal y como ha publicado The Guardian, que podrían circular ya por la red.

Corolario y Colofón con una Orden Ejecutiva del Presidente

Al presidente no le debió de gustar todo esto del ataque a la Casa Blanca, así que el día 1 de Abril del año en curso decidido firmar una Orden Ejecutiva del Presidente de los Estados Unidos para luchar contra la amenaza cibernética extranjera que amenaza la seguridad nacional y la Economía de Estados Unidos.

Figura 4: Orden Ejecutiva emitida por el Presidente Obama
I, BARACK OBAMA, President of the United States of America, find that the increasing prevalence and severity of malicious cyber-enabled activities originating from, or directed by persons located, in whole or in substantial part, outside the United States constitute an unusual and extraordinary threat to the national security, foreign policy, and economy of the United States. I hereby declare a national emergency to deal with this threat.
Por ello, como afecta a la Economía y a la Seguridad Nacional, lo declara Emergencia Nacional y emite la Orden Ejecutiva para solucionar este asunto de los ciberataques que se cuelan en sistemas del gobierno. Curioso que después de todo lo que hemos visto de la NSA con el hackeo de las embajadas de países amigos o del espionaje en la ONU o el espionaje en el G20, sea Estados Unidos el primero en defenderse contra ataques cibernéticos de otros países con esta orden ejecutiva.

Saludos Malignos!

5 comentarios:

Anónimo dijo...

Hola!!

¿Como se puede asegurar que no implementan DKIM sin verificar la cabecera de un correo enviado por el dominio state.gov?

Miniyó (en la sombra del Dr. Maligno) dijo...
Este comentario ha sido eliminado por el autor.
Miniyó (en la sombra del Dr. Maligno) dijo...

A lo largo del día hemos conocido también el ciberataque a la cadena TV5Monde
Amplió información en mi blogsobre Chema
http://porlasnochesleoachema.blogspot.com/2015/04/ciberguerra-y-ciberamenazas.html
Saludos!

Anónimo dijo...

Hola Chema, te escribo porque me preguntaba si una persona que se dedica a la seguridad informática necesita un equipo de grandes prestaciones. Aunque alguna vez has comentado que lo que utilizas cotidianamente es el portátil con el que te dejas ver, ¿podrías especificar que portátil es?¿Además de las obvias, qué ventajas te proporciona el uso de un portátil?
Un saludo

Anónimo dijo...

La #NSA se siente con el derecho de piratear servidores extranjeros sin orden judicial, pero cuando hackean la Casa Blanca se pasan a molestar y hacer su dichosa orden ejecutiva.

Entrada destacada

Infraestructuras Críticas y Sistemas Industriales: Auditorías de Seguridad y Fortificación de @0xWord

Desde hoy está disponible a la venta un nuevo libro de 0xWord centrado en la seguridad de los Sistemas Industriales y las Infraestructuras...

Entradas populares