Facebook y Cambridge Analytica, el pánico Spectre y Meltdown, las noticias falsas son solo la punta del iceberg del incidente de 2018. El año pasado fue caluroso para los profesionales de seguridad de la información y para muchos usuarios que tuvieron que apresurar las contraseñas rápidamente. En el Distrito Binario compilamos una selección de 12 hacks reveladores, hacks y filtraciones de datos que ocurrieron en 2018.
En la lista hay historias sobre la vulnerabilidad que trajo a Google+, Alexa demasiado habladora, auriculares traicioneros, un administrador brasileño descuidado, una sinergia de errores en Facebook y un DDoS sin precedentes.
Cuatro ataques de hackers
Solo espacio, o cómo perder 13 millones de dólares
Que paso En agosto de 2018, los piratas informáticos
realizaron más de 15,000 transacciones ilegales con cuentas del Indian Cosmos Bank a través de cajeros automáticos en siete horas, y al día siguiente varias transferencias grandes a través del sistema SWIFT.
Cual es el motivo. En la primera fase de la operación, se utilizaron muchas tarjetas bancarias clonadas, creadas debido a una vulnerabilidad desconocida en los sistemas de uno de los emisores. Con su ayuda, los hackers cómplices estaban retirando efectivo de los cajeros automáticos. En la segunda fase, probablemente, se utilizó una nueva versión del malware DYEPACK, que le permite omitir la autorización de transferencias en redes bancarias y ocultar informes sobre su implementación.
Los detalles no fueron revelados para los fines de la investigación, pero el ataque está asociado con el grupo de hackers norcoreanos APT38, que se especializa en piratear SWIFT.
¿Cuáles son las consecuencias? Las pérdidas del Cosmos Bank ascendieron a unos 13 millones de dólares, dos de ellos en la cuenta en uno de los bancos de Hong Kong, el resto, en efectivo en manos de "mulas de dinero". La carrera armamentista entre SWIFT y los hackers continúa, y en 2019 es probable que recibamos nuevos mensajes sobre ataques a bancos.
Facebook mala suerte
Que paso El escándalo en torno a las elecciones estadounidenses aún no había disminuido, ya que en septiembre de 2018 se supo que los piratas informáticos habían logrado acceder a los datos de millones de usuarios de Facebook.
Cual es el motivo. El pirateo no habría sido posible si no hubiera
sido por la combinación de errores en el descargador de video, que utiliza la tecnología Single Sign-On y la función "Ver cómo". Con su ayuda, los hackers recolectaron tokens masivamente que genera una aplicación móvil, de modo que al cargar páginas web con módulos de redes sociales, no es necesario iniciar sesión nuevamente.
¿Cuáles son las consecuencias? Los hackers han recibido información sobre 30 millones de cuentas. Se filtraron números de teléfono y direcciones de correo electrónico, los datos especificados en el perfil, datos sobre los tipos de dispositivos desde los que el usuario ingresa a la red social, los últimos 10 lugares marcados y 15 consultas de búsqueda.
Los tokens podrían usarse para acceder a cualquier recurso de red donde se aplique la autorización a través de Facebook. El FBI no reveló los detalles de la investigación, pero a juzgar por la información disponible, los piratas informáticos no lograron realizar sus planes. Después de que se descubrió la intrusión, la vulnerabilidad se cerró y el equipo de Facebook eliminó los tokens de autorización para los usuarios afectados (y otros 60 millones como medida de precaución).
Gran fraude
Que paso Se descubrió uno de los esquemas de fraude más grandes y complejos con publicidad en línea, que incluía una red de 10,000 dominios falsos y una botnet que controlaba más de un millón de direcciones IP. En su apogeo, los bots generaron más de 3 mil millones de impresiones de anuncios al día.
Cual es el motivo. Para crear la botnet, los piratas informáticos utilizaron los troyanos Miuref y Boaxxe, ataques dirigidos a BGP, el protocolo de la puerta de enlace de límites, así como aplicaciones móviles con marcadores incrustados. Desarrollaron
varios vectores de ataques en redes publicitarias y los cambiaron cuando fueron descubiertos por expertos de Google. Además, los bots imitaron con éxito el comportamiento humano, simulando movimientos del mouse y clics aleatorios.
¿Cuáles son las consecuencias? Se han encontrado piratas informáticos, se les
imputa formalmente , pero las pérdidas financieras de la industria publicitaria aún no se han evaluado.
Google alienta la atención a las vulnerabilidades potenciales de las redes publicitarias por abuso y a acelerar la creación y adopción de estándares de la industria como ads.txt. La compañía eliminó de Google Play las aplicaciones que participaban en este esquema que usaban mecanismos de inyección de clic y / o de inundación de clic, incluido uno de los teclados de terceros más populares: el teclado Kika con 200,000 instalaciones.
Reddit hackeado
Que paso En junio de 2018, los piratas informáticos comprometieron las cuentas de los empleados del sitio y obtuvieron acceso a varios sistemas sin nombre, códigos fuente de Reddit, documentación, parte de las direcciones de correo electrónico de los usuarios y copias de seguridad antiguas.
Cual es el motivo. Los administradores utilizaron un sistema de autenticación de dos factores a través de SMS para autorizar. El ataque se llevó a cabo interceptando un código de confirmación. Los hackers podrían duplicar una SIM, engañar a los empleados de un operador de telecomunicaciones y volver a emitir tarjetas o atacar un protocolo SS7 obsoleto.
¿Cuáles son las consecuencias? El acceso al código fuente del sitio puede implicar nuevos ataques.
Reddit anunció la revisión de las reglas internas de seguridad de la información y la transición a tokens 2FA, que regularmente generan un nuevo código de confirmación. Los usuarios afectados recibieron notificaciones, pero nuevamente nos convencimos de la
imperfección de la autenticación por SMS .
Tres fakapa molestos
Apache brasileño
Que paso Los números de identificación (el análogo TIN) de 120 millones de contribuyentes brasileños, alrededor del 57% de la población del país, así como información personal: direcciones, números de teléfono, datos sobre préstamos, etc.,
estaban disponibles gratuitamente.
Cual es el motivo. Servidor HTTP Apache configurado incorrectamente, cuyo administrador cambió el nombre del index.html estándar a index.html_bkp. El culpable del incidente sigue siendo desconocido. Probablemente simplemente no se dio cuenta de que activó la lista de directorios para todos los archivos en el directorio.
¿Cuáles son las consecuencias? Los números de identificación fiscal de Brasil son necesarios para abrir cuentas bancarias, obtener préstamos y registrar entidades legales. Un poco de ingeniería social, y esos datos se convierten en dinero fácil. Es probable que la base esté disponible pronto en la red oscura.
Certificaciones Sennheiser
Que paso Los desarrolladores de Sennheiser HeadSetup y HeadSetup Pro, software para hacer llamadas a través de la red, pisaron el mismo rastrillo que Dell y Lenovo hace varios años. Utilizaron certificados raíz inseguros.
Cual es el motivo. Junto con HeadSetup, se instalaron un par de certificados raíz en la computadora. Las claves privadas se guardaron en el archivo SennComCCKey.pem, desde donde son
fáciles de extraer . Por lo tanto, los atacantes podrían usarlos para falsificar certificados, sitios legítimos, etc.
¿Cuáles son las consecuencias? Sennheiser
ha lanzado actualizaciones a sus programas , pero todos los sistemas en los que se instalaron las versiones 7.3, 7.4 y 8.0 de HeadSetup en el pasado siguen siendo vulnerables a ataques como el hombre en el medio. Los programas se pueden actualizar o eliminar, pero deshacerse de los certificados en sí mismos, válidos hasta 2027 y 2037, no es tan simple. Permanecen en el sistema operativo Trust Store y requieren una extracción manual.
Alexa te contará todo sobre ti
Que paso Amazon, en respuesta a una solicitud bajo el GDPR, envió 1.700 grabaciones inteligentes a la persona equivocada. Después de escucharlos, fue posible identificar al propietario y su hogar, averiguar la dirección y muchos detalles, como las preferencias musicales.
Cual es el motivo. Un representante de la compañía
en una conversación con reporteros de Business Insider describe esto como un caso aislado y se refiere al factor humano.
Pero situaciones similares no son infrecuentes. Por lo tanto, en el marco de la "Ley de libertad de difusión de información" vigente en los EE. UU., Que está diseñada para aumentar la transparencia del trabajo de los funcionarios, cualquier persona puede solicitar ciertos datos a las agencias gubernamentales. En respuesta a dicha solicitud, el Ayuntamiento de Seattle, junto con metadatos de 32 millones de cartas,
envió 256 primeros caracteres de cada mensaje al activista de Internet Matt Chapman. Entre ellos estaban los nombres y contraseñas de los usuarios, números de tarjetas de crédito, tarjetas de seguridad social y licencias de conducir, informes policiales, datos de investigación del FBI y otra información confidencial. Y el gobierno sueco
reveló accidentalmente los datos personales de los participantes en el programa de protección de testigos y varios agentes de la ley.
¿Cuáles son las consecuencias? En comparación con los casos descritos anteriormente, el incidente de Amazon es relativamente inofensivo. Sin embargo, le hace pensar si vale la pena dejar entrar dispositivos inteligentes en la casa, especialmente aquellos que pueden escuchar, y qué tan útil puede ser GDPR para un pirata informático que ya ha obtenido acceso a su cuenta.
Un par de vulnerabilidades que (casi) mataron los servicios
Microsoft Achilles Heel
Que paso Un empleado de SafetyDetective
descubrió una cadena de vulnerabilidades críticas en los servicios web de Microsoft , lo que permitió acceder a success.office.com en siete pasos y enviar correos electrónicos de phishing en nombre de la empresa.
Cual es el motivo. El punto de acceso era una aplicación web de Azure rota. Después de tomar el control del dominio success.office.com con su ayuda, el investigador utilizó errores en la verificación de OAuth para evitar el mecanismo de autorización y obtener tokens de otras personas mediante phishing. La víctima de tal truco difícilmente habría adivinado el truco, ya que un enlace peligroso tendría una URL oficial como: login.live.com.
¿Cuáles son las consecuencias? Después de descubrir la vulnerabilidad, SafetyDetective contactó a Microsoft en junio de 2018. La compañía respondió y corrigió la situación en noviembre de 2018. Los expertos en seguridad creen que la vulnerabilidad afectó a unos 400 millones de usuarios y permitió el acceso a todas las cuentas de cuentas de Microsoft, desde Microsoft Outlook hasta la Tienda de Microsoft.
Agonía Google+
Que paso Durante el año, los expertos de Google encontraron un par de vulnerabilidades en una red social moribunda.
Uno de ellos , que permitió conocer la edad de inicio de sesión, el sexo, la dirección de correo electrónico y el lugar de trabajo del usuario, existía desde 2015 y afectó a aproximadamente 500 mil cuentas, el
segundo apareció en el código relativamente recientemente , en noviembre de 2018, pero reveló datos mucho más confidenciales: bajo ataque había 52.5 millones de cuentas.
Cual es el motivo. Una auditoría de seguridad mostró que ambas vulnerabilidades fueron causadas por errores en la API de Google+ que abrieron el acceso no autorizado a los datos del usuario para las aplicaciones conectadas.
¿Cuáles son las consecuencias? Google no puede responder con confianza a la pregunta de si se explotó la primera vulnerabilidad, ya que los registros de API se almacenan durante no más de dos semanas. La segunda vulnerabilidad se notó y solucionó 6 días después de la aparición, sin embargo, la compañía aún decidió acelerar el cierre de Google+. Las API se deshabilitarán el 7 de marzo de 2019. La red social dejará de funcionar por completo en abril de este año.
Un registro de DDoS
Que paso El 28 de febrero de 2018, los piratas informáticos
lanzaron un
ataque récord de 1.35 Tb / s
en los servidores de GitHub , pero el 5 de marzo de 2018, los
analistas informaron que el récord se rompió. Durante un nuevo ataque, la red de uno de los proveedores estadounidenses fue sometida a una carga, que alcanzó un máximo de 1.7 Tb / s.
Cual es el motivo. La culpa de esto es la vulnerabilidad en el código Memcached conocido desde 2014: software para el almacenamiento en caché de datos en la RAM del servidor. En el otoño de 2017, se encontró una forma de utilizar la vulnerabilidad para implementar ataques DRDoS con la multiplicación del tráfico a través de servidores reflectores vulnerables.
¿Cuáles son las consecuencias? Es probable que se rompa el récord, ya que todavía hay muchos recursos en la red que usan la configuración de Memcached vulnerable incorrecta. Para protegerse contra tales ataques,
Cloudflare recomienda restringir o bloquear UDP para el puerto 11211.
El número de incidentes en el campo de la seguridad de la información solo está creciendo. En este breve recorrido, hemos recopilado solo una parte del espectro de posibles amenazas, muchas de las cuales aún no se han detectado. Si desea proteger su servicio o convertirse en un Sherlock Holmes de sombrero blanco, junto con los expertos del Distrito Binario de la Academia de Seguridad Cibernética de BI.ZONE llevará a cabo para usted una
aplicación intensiva de
seguridad de aplicaciones web e
investigación de ataques cibernéticos para empresas . Los cursos se llevarán a cabo del 16 al 17 de febrero en el lugar de octubre digital.