Lecciones que nos dejan los casos más publicitados de violaciones a la seguridad. Fernando Martín del Campo IDS de Centroamérica Guatemala

Transcripción

1 Lecciones que nos dejan los casos más publicitados de violaciones a la seguridad Fernando Martín del Campo IDS de Centroamérica Guatemala 1

2 Casos más sonados en el Qué fue lo que pasó? Cómo evitar que esto nos suceda. Portafolio de IDS para apoyarlos. Fernando Martín del Campo Director Ejecutivo IDS de Centroamérica

3 Casos más sonados en el 2014

4 Casos más sonados

5 Ebay (Comercio por Internet) 145 millones de consumidores nombres, passwords, direcciones de correo, fechas de nacimiento. Cuál fue el impacto Anthem Medical (Blue Shield) 80 millones de registros con identidades. JP Morgan Chase Datos de 76 millones de clientes y 7 millones de empresas. El FBI declaró que otros 4 Bancos también fueron atacados. Home Depot Datos de 56 millones de tarjetas y 53 millones de direcciones de correo. Estado de New York 22.8 millones de residentes durante 8 años y se utilizaron en 3,000 lugares. Community Health Systems Registros de 4.5 millones de pacientes incluyendo nombres, direcciones y Seguro Social. Michaels 2.6 millones de tarjetas sin nombres, direcciones ni PIN. Staples 1.16 millones de tarjetas de sus clientes. Goodwill Industries (servicios a impedidos) 868,000 clientes en sus 330 sedes incluyendo nombre y PIN.

6 Dairy Queen 600,000 tarjetas de crédito y débito en 395 tiendas. Cuál fue el impacto Neiman Marcus Información de 350,000 compradores. Sally Beauty 280,000 tarjetas de crédito y débito fueron puestas en subasta. Los Bancos compraron esa lista. Sourcebooks (online) 5,204 nombres, direcciones, número de tarjeta y PIN. Sony Cinco películas no estrenadas fueron robadas y publicadas. Información de 15,00 empleados incluyendo fechas de nacimiento y Seguro Social. Affinity Gaming (casinos) Datos de programa de afinidad de quienes compraron en las tiendas y restaurantes. PF Chang Datos de tarjetas de crédito fueron usados durante 8 meses. UPS Datos de clientes, direcciones y envíos de 51 tiendas. Goodwill Industries (servicios a impedidos) 868,000 clientes en sus 330 sedes incluyendo nombre y PIN.

7 White Lodging (Hilton) Datos de clientes que compraron en tiendas y restaurantes. Cuál fue el impacto Jimmy John s Datos de tarjetas de compradores en 216 tiendas. Kmart Datos de clientes No comunicaron el impacto en la información ni la cantidad de clientes. Bebe (tiendas de ropa de mujer) Información de clientes que compraron entre el 8 y el 26 de noviembre de Albertsons 928 tiendas y 8 almacenes Los datos de tarjetas fueron robados de su adquiriente. Caso a evaluar: Target 70 millones de registros de compras y 40 millones de números de tarjeta de crédito y débito.

8 Qué fue lo que pasó

9 Información que se hizo pública El 19 de diciembre de 2013, en plena temporada navideña, Target anunció un ataque de hackers que expuso 70 millones de cuentas de sus clientes. La información de las compras realizadas entre 27 de noviembre y el 18 de diciembre fue la que estuvo expuesta. Unos días después se confirmó el robo de información de 40 millones de tarjetas. Target ha creado un fondo de hasta $100 millones para enfrentar posibles demandas; el plazo para presentarlas termina el 31 de julio de El impacto al negocio puede significar $1,000 millones en ventas perdidas.

10 Un rápido vistazo al proceso

11 Cómo inició todo Penetración a la red Se utilizaron las credenciales de un proveedor de sistemas de enfriamiento que obtuvieron por medio de phishing al correo del proveedor utilizando el malware Citadel que se instala en el browser de los usuarios. Acceso al sitio Web Con esas credenciales, obtuvieron acceso a un sitio Web hosteado por Target para atender a sus proveedores a través de la aplicación Partners Online. Vulnerabilidad A través de una vulnerabilidad de PHP en la aplicación utilizada para cargar las facturas, pudieron activar y correr un código que insertaron en el servidor de aplicaciones.

12 Tomando control de la red Active Directory Con ese código pudieron utilizar comandos del Sistema Operativo para hacer queries al AD en el servidor de aplicaciones e identificar servicios, servidores y usuarios en la red de Target. Cuando identificaron el DNS, obtuvieron los correspondientes IPs de los servidores y de los POS de las tiendas. Token de usuario Al tener acceso a los servidores, consultaron la memoria de los mismos con la herramienta WCE (Windows Credential Editor) buscando el token de algún usuario con privilegios de Administrador de Dominio, El token es un valor (NT Hash) que reemplaza al password para permitir el uso de soluciones de SSO y que se guarda en memoria hasta que el servidor es reiniciado. Los atacantes encontraron ese token en la memoria del servidor de aplicaciones. Administrado r de Dominio Con ese token crearon un nuevo Administrador de Dominio en el AD con los comandos tradicionales de Windows, buscando que el nombre del usuario fuese similar al de los usuarios que son creados por aplicaciones que corren automáticamente, como las aplicaciones de monitoreo, virtualización, etc.

13 Identificando las fuentes de datos Propagación de credenciales Para poder propagar esas credenciales en las computadoras ya identificadas, primero utilizaron la aplicación Angry IP Scanner que identifica los obstáculos de protección de la red y crearon un túnel en la red para obviar esos obstáculos. Utilizando el utilitario PsExec de Microsoft pudieron correr procesos en los servidores por medio de Telnet. Con el cliente de Remote Desktop les fue posible evaluar qué servidor contenía información valiosa. Para contar con un acceso persistente, utilizaron OrchestratorRunProgramService.exe que permite la ejecución remota de programas, como el malware Kaptoxa. Acceso al sitio Web Una vez podían correr procesos remotos en forma persistente y, habiendo identificado los repositorios de datos, utilizaron las herramientas de query de SQL de Microsoft isql.exe y osql.exe para evaluar unos cuantos registros de cada base de datos y decidir si contenían información valiosa. Una vez sabiendo esto, utilizaron el utilitario bcp.exe para extraer la base de datos completa y robaron 70 millones de datos de identidad de una base de datos que cumplía con PCI, por lo que no contenía datos de tarjetas de crédito.

14 Identificando la información valiosa Ataque a los POS Al ver que no obtuvieron la información de las tarjetas, procedieron a instalar el malware Kaptoxa en la memoria de los POS de la tiendas y crearon un servicio de Windows llamado POSWDS. Cuando el malware detectaba un número de tarjeta en la transacción, lo guardaba en un archivo local. Con esto, pudieron extraer datos de 40 millones de tarjetas. Envío de datos El malware procedía a enviar periódicamente la información extraída y los datos de identidad a un repositorio dentro de la red de Target utilizando protocolos de Windows para compartir archivos, principalmente el SMB (Server Message Block). Extracción Los datos robados luego fueron enviados por FTP a un servidor controlado por los atacantes.

15 Reacciones en la industria VISA emitió en febrero de 2014 un documento denominado Retail Merchants Targeted by Memory-Parsing Malware. Dell publicó en enero del 2014 el documento Inside a Targeted Point-of-Sale Data Breach. isight Partners emitió en enero del 2014 un documento denominado KAPTOXA Point-of-Sale Compromise. En marzo del 2014, el comité de comercio del senado de los Estados Unidos publicó el reporte A Kill Chain Analysis of the Target Data Breach.

16 Cómo evitar que esto nos suceda

17 Consideraciones Todos los pasos previos al ataque fueron ejecutados en forma manual, usando herramientas de líneas de comando y aplicaciones con interface de usuario. Se utilizaron herramientas de software disponibles en la red, a excepción del malware Kaptoxa que fue usado hasta que se dieron cuenta que las bases de datos no contenían información de números de tarjeta. Los atacantes se escondieron a simple vista, utilizando cuentas en el AD y nombres de servicios familiares, haciéndolos difíciles de identificar. El ataque inició utilizando credenciales robadas.

18 Recomendaciones Controles de acceso Robustecer las políticas de asignación y auditoría. Monitorear los patrones de acceso de los perfiles para identificar actividades anormales. Autenticación One-time passwords para System Administrators. Autenticación multifactorial. Control de usuarios Limitar privilegios excesivos para los usuarios. Monitorear listas de usuarios para detectar en qué momento se crean nuevos. Implementar iniciativas de IDM y SSO.

19 Recomendaciones Monitoreo de Eventos Queries excesivos o anormales hacia el LDAP. Actividades anormales en los perfiles. Actividades en el Active Directory. Infraestructura Segregación de las redes. Limitar uso de protocolos permitidos. Mejores prácticas Listas positivas de programas permitidos en los servidores sensitivos. No depender de soluciones anti-malware como medida de mitigación de riesgo, pues los hackers utilizan principalmente herramientas legítimas.

20 Portafolio de IDS para apoyarlos

21 Portafolio de Seguridad Seguridad en la nube, Correo seguro, Gestión de versiones y parches, Gestión de configuraciones y aplicaciones, Gestión del contenido en el dispositivo, Autenticación, WebSafe y MobileSafe Encryption. DNS, Prevención de Intrusos, VPN, Advanced Firewalls, Correo seguro, Threat Intelligence, Antispam, Filtros de Contenido. Gestión de parches, VLAN, DMZ, Segmentación de Redes, Internal Firewalls, Balanceadores de Carga. Gestión de activos y configuraciones, Antivirus, Antispyware, Gestión de versiones y parches, Servidor Seguro Application Security, Directorio Activo, WAF, Gestión de roles e identidades, Autenticación, SSO con claves Robustas, HTTP/SSL Respaldos y Archiving, Monitoreo de la base de datos, DLP, Cifrado de Datos (SSL, IPSec), Secure File Sharing, Disk Encryption End Points, Cloud Perímetro Red Interna Infraestructura Aplicaciones Datos Monitoreo y correlación de Eventos Manejo de Incidentes de Seguridad Control de Cambios

22 La experiencia no se improvisa GRACIAS POR SU ATENCIÓN