jueves, mayo 22, 2014

No esperes a ser hackeado: Piensa como un hacker, planifica como un CSO y haz magia como Harry Potter

Hace ya un tiempo me pidieron escribir un decálogo sobre seguridad informática para entregar en un evento en el que iba a participar. Como siempre, huyendo de formalismos establecidos decidí escribir en tono de humor algunas de las ideas que llevo siempre dentro de mi cabeza - o debajo del gorro para según quién -. Entre las diez reglas que escribí, recuerdo que una de ellas decía:

"Pagarás todo el dinero del mundo por securizar tus sistemas…
una vez te hayan hackeado y expuesto públicamente. ".

Inexplicablemente, día tras día, veo esta afirmación respaldada por la actualidad de Internet que no deja de traer, una tras otra, noticias de empresas que han sido afectadas por esta norma del decálogo maligno que escribí.

Figura 1: Bitly hakeado solicita resetear passwords

La última de ellas que ha venido a respaldar el enunciado ha sido la empresa Bit.ly la web de Ebay que ha visto como sus cuentas de usuario han quedado expuestas públicamente y ha tenido que pedir el reseteo de contraseñas masivo.

Figura 2: Después del 21 de Mayo hay que cambiar la password

En ambos casos, tanto en Bitly como en Ebay los datos se fueron para siempre, y como suelo decir en las charlas de Digital Latches, una vez que los datos de un cliente han sido expuestos, han sido expuestos para siempre. Puedes pedirle al usuario que cambie la password o que cancele la tarjeta de crédito, pero no puedes pedirle que se cambie el nombre, los apellidos, dónde vive, la fecha de nacimiento o los números de identificación de documentos oficiales como el DNI o el pasaporte. Tu eras responsable de sus datos, y ahora ya no hay forma de controlarlos porque están en la red para siempre.

Para evitar que alguien pueda sufrir un robo de identidad y cualquiera de las consecuencias que esto pueda acarrear, en el caso de Bitly se ha implementado un sistema de Autenticación de Segundo Factor para sus identidades, mientras que en el caso de Ebay ya lo tienen...- al menos en USA, pero no en Ebay.es, donde aún por defecto el sitio funciona en HTTP y no HTTPs y no hay forma de encontrar donde poner un 2FA -.

Figura 3: Zona de configuración de cuenta de Ebay.es bajo HTTP

Esto no solo le pasa a empresas de este tamaño, sino que empresas tan importantes, poderosas, grandes y con tanto dinero en caja como Apple no han tenido una media de seguridad en 2FA en sus sistemas de identidad hasta que el número de incidentes como el del periodista de la revista Wired, Matt Honan que según sus palabras fue "brutalmente hackeado" no han salido a la luz pública.

Lo triste es que, una vez que los datos se han esfumado, puedes solicitar el reseteo de la contraseña -incluso aunque sea casi 2 meses después de que la base de datos hubiera robada como en el caso de Ebay, que dicen que perdieron la base de datos a finales de Febrero o principios de Marzo, robando las credenciales de empleados de Ebay porque NO tenían 2FA en sus cuentas de usuario internas.

Figura 4: la base de datos fue robada a finales de Febrero, principios de Marzo

La fortificación de sistemas

La fortificación de cualquier sistema informático se basa en tres reglas archi-conocidas fácilmente entendibles y reconocibles por cualquier persona. La primera de ella dice que debes aplicar siempre el Mínimo Privilegio Posible en todas las piezas de tu sistema - incluidos tus usuarios -. La segunda habla de crear un sistema con la Mínima Superficie de Exposición, o lo que es lo mismo, que reduzca al máximo los puntos expuestos a un atacante. El tercer principio es el más genérico y más importante de todos: Defensa en Profundidad.

Defense in Depth, que dicen los anglosajones, recopila bajo su paraguas todas las medidas de seguridad que ayuden a fortificar el sistema en cualquiera de las capas, siempre y cuando una medida no anule a otra. Si puedes poner otra capa de seguridad para proteger tus sistemas y no rompe una medida de seguridad anterior y no va en contra de la disponibilidad del servicio, ponla.

Piensa como un hacker y hackeate a ti mismo

En un sistema informático, al igual que hacen los hackers e investigadores de seguridad, hay que poner en tela de juicio siempre las protecciones de seguridad que tiene actualmente el sistema para poder pensar en la siguiente medida a implantar. Pensar como un atacante para descubrir cuál es el punto más débil en el sistema que tienes actualmente y planificar como un CSO deben ser parte de la tarea diaria.

Descubrir si lo que necesitas es una protección de 2FA basada en sistemas SMS o más evolucionado como Latch, es tan fácil como descubrir si es sencillo o no robar las credenciales de personas clave de tu compañía como le ha pasado a Ebay. Es sencillo y lo puedes hacer tú, aunque viendo todo lo que ha pasado ya a tantas y tantas empresas que han sufrido el robo de cuentas, parece innecesario.

O bien dentro del próximo proceso de auditoría de seguridad, o como una prueba ad-hoc, hazte un ataque de phishing a ti mismo. Para ello busca las direcciones de correo electrónico de 50 personas de tu compañía o de 50 clientes y envíales un correo de phishing bien armado que les lleve a una web donde se les pida el usuario y la contraseña con el gancho de ser una campaña interna de la empresa para poder participar en un sorteo de la compañía. Haz bonita la web y luego parate a contar el número de credenciales que la gente entrega por la promesa de poder ganar un premio interno. Me apuesto el gorro a que te sorprendería.

Planifica como un CSO ... a pesar de tus jefes

Si eres un CSO y no tienes un Plan Director de Seguridad que te vaya indicando cuál es la siguiente medida de protección que debes aplicar dentro de la regla de Defensa en Profundidad, tal vez no estás gestionando del todo bien tus sistemas. Si pones una medida de seguridad como un segundo factor de autenticación solo después de que has tenido un escándalo, un robo de identidad o un hackeo, probablemente tendrás el mismo problema con otra medida de seguridad en el futuro.

De todas las medidas que tengas que poner, prioriza sabiendo cuáles de ellas van a requerir presupuesto, y cuáles solo voluntad de tu equipo. Si necesitas presupuesto y no tienes, entonces hackea a tus jefes y haz campaña para que entiendan la importancia. Mételos en el ataque de phishing si es necesario.

Haz magia como Harry Potter

Si tienes gente con voluntad de cambiar las cosas, pasionales por la tecnología, con ganas de transformar la compañía a pesar de la compañía, entonces piensa en todas las cosas que se pueden hacer con cero o poco dinero. Aplicar una medida como Latch en una web o servidores Linux, es algo que lleva unos minutos y es gratis si hay menos de 50 usuarios.

No esperes a que hackeen tu sistema para poner la próxima medida de seguridad. Piensa ya como un hacker, atácate a ti mismo, y planifica como solo un CSO sabe hacer, "haciendo magia" con los presupuestos y los recursos, además de pegándose con la gente de negocio. No pensarías que iba a ser fácil ese rol, ¿verdad?

Saludos Malignos!

PD: No os olvidéis de cambiar las contraseñas de Ebay, yo ya he acabado de cambiar las mías.

6 comentarios:

  1. Este comentario ha sido eliminado por el autor.

    ResponderEliminar
    Respuestas
    1. Hola Chema me encanta lach, pero podrias añadir para proteger el gmail, o el facebook?, por lo demas me encanta

      Eliminar
  2. Que grande Chema y que triste que peces gordos caigan en redes equivocadas.
    No solo eres un genio de la seguridad, eres un genio en la comunicación... gran ejemplo a seguir.

    ResponderEliminar
  3. Sencillamente admiro a este personaje...su intelecto es avasallante, lo sigo desde hace mucho años. Saludes!!!

    ResponderEliminar
  4. Me gusta ver esto.

    El tema de la seguridad no esta para nada tomado en cuenta en muchas empresas, lo obvian y lo consideran tema de "A mi no me pasa"

    Aun y despues de hacerles una Demo, la opcion siempre es "Pues arreglalo" y no hay dinero.

    Asimismo, integrar una autenticacion de 2 pasos para un usuario es donde nos topamos. Yo lo haria solo para servidores importantes o aplicaciones muy especificas, aun asi, hay un punto donde el usuario no congenia con estas practicas por pereza.

    ResponderEliminar
  5. Sobre lo del Phising, en una ocasion realice una prueba en bruto creando uno de Facebook y para acceder a los Logs cree un directorio a parte y en el subi una Shell para poderme conectar Vía Web bajo Proxy por que desde el Cliente FTP de Filezilla me daba error y no me permitía la conexión y en el registro de el acceso por FPT del Hosting salia la mi IP si lo hacia sin Proxy evidentemente, cosa que un atacante va a tener en cuenta y no le va a molar eso, aunque no se este 100% protegido navegando bajo Proxy ya que ese mismo Proxy siempre sabrá desde donde te conectas. Vía Web si me permita conectarme bajo Proxy y sin ningún problema. La idea era realizar un poco de Ingeniería Social,Ejemplo: (por Facebook mirando que amigos están conectados mediante el Móvil en ese momento) Fácil, no? ahora solo queda compartirlo por Whatsapp, Telegram, Line etc.. aquí ya entra el ingenio de cada uno, esto es solo un ejemplo ya digo; Atacante: Que haces? Víctima: Nada a quía liado hablando por Facaebook con Fulanito/a, Atacante: A pues yo he cerrado mi cuenta y me abierto una nueva, mira esta es: (URL del Phising) agregame,ok? Repito que era solo una prueba y "Me Hackee" a mi mismo y esto fue solo un ejemplo (palabra) Lo que yo quería era ver como se comportaban los distintos Navegadores para Smartphone ya que uno es consciente de que el eslabón mas débil de la cadena de seguridad es el usuario, pues... :( Un P*** desastre ya que como no cuentan con las mismas opciones de configuración relacionados con la seguridad que los navegadores para PC y no te alertan de nada (en ese momento fue así) el único fue Chrome para Android pero por que ya avía sido detectado Vía Web,pero las credenciales fueron capturadas anteriormente 10 veces desde distintos navegadores, quizás la realice de nuevo o sin mas, invito a tod@ aquel que lea este comentario que lo pruebe y vea por si mismo que es verdaderamente preocupante que no se implementen ciertas medidas de seguridad en los navegadores para los teléfonos móviles :( y de los que vienen por defecto con los terminales yaaa... apaga y vámonos ;) pufff¡¡¡ por que un usuario normal, de todo esto ni papa, así que esos en pelota picad ante el robo de credenciales.

    Hay que estar muy al loro y aun así se corren riesgos ya que con el tiempo y una caña hasta las verdes caen, y la mayoría de las veces por es por pereza a instalar y aprender a manejar alguna que otra aplicación de seguridad, por que información hay y mucha, tu mismo con tu mecanismo lector pero... que hay que generar consciencia sobre el tema hay que generarla ya que hoy en día "el teléfono móvil se a convertido casi en una extremidad mas de nuestro cuerpo" los malos lo saben y por hay te van a a tacar, mantente alerta¡

    Muchas gracias por la info Dr.Maligno¡

    Salu2¡

    ResponderEliminar