Mucho se dice que el eslabón más débil es las personas y que un alto porcentaje ocurre por personal interno de las organizaciones.
Y la estadística es en definitiva cierta, tengo muchas anécdotas de intentos, de hackeo, de veces que lo han logrado, de noticias del mundo como lo han hecho, de literatura o ficción que sucede en otros lugares, de historias de amigos cercanos que les ha pasado en sus organizaciones, en definitiva el eslabón más débil somos los humanos, como puedes constatar.
El asunto es, que la historia que te voy a contar, pertenece al dominio de la fantasía, no ha ocurrido en la realidad y es solo una manera de juntar historias para darte una idea de que tan simple puede ser un ataque y que juega este modelo de seguridad un factor importante en un negocio, no importa el tipo que sea, ahora nos interesa la banca, vamos pues y ya veremos que pasa:
Nos explicaron como fue el ataque, lo detectaron tarde lamentablemente, y fue nuestra primera lección, en el apartado “lo que pasó después” te detallo las lecciones aprendidas al respecto y es la intención principal de este artículo, la base del ataque fue:
“Una configuración deficiente de software basta para crear un agujero de seguridad”
Un hacker no cracker (importante)
Nuestro perímetro en … aquí me voy a poner mi gorra técnica y espero se entiendan los conceptos, no haré referencia a muchos asumiendo que los tienes bien digeridos, y no por ser soberbio sino para tratar de no cortar el sentido al relato, espero así lo entiendas mi estimado amigo lector, aclarado ese punto vamos adelante … de seguridad está protegido por IDS y por IPS, se tiene un WAF configurado en la DMZ.
Se tiene aislado el Web Server, en una DMZ filtrada por puertos diferentes a los expuestos para la red LAN, a fin de separar redes y mitigar las amenazas, bueno todo ese asunto pasaba por mi cabeza cuando exponían la manera en que entraron a la red.
Se cuenta con monitoreo de logs, análisis de comportamiento en memoria automatizado para el sitio del banco, se analizan los intentos de ataques por día, bueno ese mismo día me empezaron a mandar los intentos que se hacían a diario al banco, no tienes una idea cuantos se hacen diario, y las diferentes maneras en que lo intentan (espero me de tiempo y explico algunos), se revisan los servidores expuestos ante cualquier amenaza.
Hemos hecho análisis exhaustivos al esquema de seguridad, Heartbleed está cubierto, CRIME lo hemos pasado, BREACH y POODLE nos lo han certificado como no vulnerable, SWEET32, FREAK, LOGJAM, BEAST nos costo trabajo para encontrar la combinación sin RC4 para la cadena pero la encontramos y actualizamos el OpenSSL, bueno hasta el mismo LUCKY13 logramos certificar, cuando tuvimos falsos positivos al respecto, me decía para mis adentros, repasando el checklist de pruebas.
Se han hecho hardening a los web servers, se han hecho estrictos análisis de ataques transversales a los servidores, se validaron las configuraciones de los app servers que tenemos y no están expuestos (mala práctica por cierto exponer un app server directo) en internet, pero aún así se hizo esquema de hardening a estos, se quitó todo aquello que no es útil y definitivamente NO están expuestos, de ser así, la red ha fallado y los firewalls vulnerados, pero son tantos y con tantas reglas, políticas de 3 ojos y …. no puede ser … seguía intentando adivinar como fue, sin poner tanta atención mientras hablaban del impacto y la información que se presumía ya tenían.
¡Y ahora les vamos a exponer como lo han hecho!, nos dijo el director de seguridad casi con una sonrisa de placer, realmente si tenemos problemas la gente técnica, yo también estaba emocionado por escucharlo, por el hambre de saber como lo habían hecho, maldito eslabón humano, la curiosidad pudo más que la responsabilidad y … la falla.
¡hot deploy! dijo leyendo en una diapositiva, y luego regresando a los asistentes (por cierto mi jefe no estaba en la reunión) para mirarnos de hito en hito, analizando quién si entendió y quién seguía con cara de no tengo idea, para mí fue suficiente, no tuve que esperar que llegara a mis ojos su mirada, bajé la cabeza para que no pudiera ver mi mueca de vergüenza y odio, son de esas cosas que son de primaria me repetía: ¡como pudo pasarme a mí!
Alcé la vista hasta que escuché que nos iba a dar detalles de IP, por donde se hizo y explicación a detalle del ataque, mientras explicaba que cosa era hot deploy y por que era un error de configuración, impacto, y que era de primaria, luchaba por bloquear mi mente, esa maldita información no me interesa, ¡conozco tanto como tú! me decía para mis adentros, el asunto es saber en que parte esta expuesto el maldito hot deploy, necesito saber ya por favor, pero tuve que contenerme mientras repasaba el modelo de arquitectura del banco, me lo sabía de memoria de cabo a rabo, con direcciones IP incluídas …de nuevo la misma pregunta ¿Como pudo pasarme a mí? y luego regreso, eso solo se puede por App Server, ¡¡¡no ya he dicho o repasado que NO está expuesto por favor!!!
Tenemos una infraestructura de seguridad robusta – dijo el director de seguridad- , supongo que para calmar un poco los ánimos, lo cuál agradecí con la mirada y al parecer correspondió, el portal NO ha sido el lugar – aseguró – podemos estar tranquilos por ese lado.
Ahí casi me desmayo de la impresión, ¡claro-! maldita sea, los flancos los cuidan los generales expertos, los novatos les gustan enfrentar, lo sé de cierto como las discusiones, hasta las leyes físicas lo exponen Héctor por favor – espera me dije, no reproches en este momento, escucha por donde fue el asunto, ya ves un poco la luz al menos – y entonces nos dijo:
Los cibercriminales entraron a nuestro portal, y no lograron vulnerarlo por las diferentes herramientas y esquemas de seguridad, acto seguido se fueron por los flancos, buscaron las URLS de servicios adicionales (los famosos micrositios informativos que NO tienen riesgo decían … ) y resultó que uno que se llama … tiene expuesto un App Server que NO tiene realizado un hardening y lograron entrar con las credenciales admin/admin (aquí si me desmayé dos segundos de la vergüenza, es seguro no puedo asegurar pero tampoco negar con certeza) y lograron ver que había un hot deploy expuesto.
Recordé que nos habían pedido que expusiéramos ciertos servicios de otra dirección, era algo normal en nuestras actividades, usaban de proxy el web server para ofrecer salida con sus infraestructuras, teníamos proxypasss y rewrites a otras direcciones IP, pero lo que nunca hicimos fue una política de publicación (bueno, ahí tienes un adelanto de lección aprendida), recordé en un instante quién me lo pidió y, deseaba en ese momento tenerlo enfrente para estrangularlo lentamente enfrente de todos … y poner fin al problema, idea que salió de mi cabeza apenas entró, y seguí atento a los detalles del evento.
Cargaron una webshell a través del hot deploy, y como tenía permisos de root el proceso del App Server pues ya tenían comandos a sus disposición … y con root claro …
Si antes no estaba cierto del desmayo, ahora sí, la vergüenza era tanta que sentí como si me hubieran vulnerado a mí mismo en persona, atentado contra mi moral de persona, me sentí vejado en mi intimidad, es probable que creas que exagero pero si te sientan en tus primeros días de responsable, frente a 8 directores y un par de VP’s de negocio de una empresa multinacional, que les afecta directo pero no entiende bien el impacto de lo sucedido, un ataque directo a mi marca personal.
Nos dieron más detalle, de como saltaron de redes por que el servidor estaba en una red diferente a la del portal, esa si estaba en la LAN no pasaba por nuestro “super esquema” de seguridad, le valieron los IDS, WAF y todos nuestros juguetes pensaba … quizá lo que más me dolió fue eso, la facilidad y simpleza del ataque, esperaba algo como: “Metieron un gusano en la petición HTTPS, con un ataque MitM para pasar desaparcibidos lo pusieron el iSQL en base64, para luego entrar directo a la base de clientes”
El impacto del ataque -dijo el director y me regresó a la realidad sacándome de mis pensamientos- es el siguiente:
Revisaron los datasources de los App servers y encontraron información para bases de datos -nuestros App Servers tienen esa información cifrada, casi le grito, pero no eran los nuestros rayos, malditos novatos – y tenemos que vieron estas tablas, la verdad es que es de información no crítica y no afecta la seguridad de nuestros cuenta habientes en absoluto, estamos 100% seguros …
… ya para cuando terminó la frase, me regresaron los colores al rostro, esta última aseveración la hizo mirándome fijamente por unos milisegundos, aquí mi cerebro empezó a funcionar de nuevo “casi a nivel normal” le había pasado el impacto más fuerte, mi percepción activa me avisó de un punto muy extraño, hay cosas que no concuerdan me dije, esto no es normal, hay algo muy raro, esto no tiene impacto y eso ya lo sabía el director, esto me huele muy mal, mi primera novatada pensé, bien a tratarla de asimilar con la mayor dignidad posible, mis emociones seguían fuera de control no podía evitarlo, eso me ponía en desventaja, no tenía mis recursos mentales al 100% … mi única fortaleza y no dispongo de ella …
¿Como diablos sabe tanto detalle? El evento tenía unas horas de ocurrido, como era posible que ya hasta presentación ejecutiva tenían, aunado a que nadie me había gritado ni nada …
Y el mago develó su secreto, el cuál después me enteré era de sobra conocido antes de mi entrada a la reunión.
Una empresa de seguridad hizo esta ataque, es de sombrero blanco dijo … lo quise matar en ese momento … y acto seguido dieron por terminada la reunión, para que se tomarán las medidas operativas que corresponden … pero eso fue un evento siguiente.
Gracias por leerme ¿Que eliges ahora?