Bueno hace tiempo que no posteo nada en mi blog y leyendo esto en uno blog que frecuento eh decidido que es bueno para ponerlo por aquí, y pues eh aquí 5 historias de por que no molestar al personal de TI
"/etc/init.d/".$_ stop foreach (@coches);
Sea una concesionario de coches de alquiler. Dichos vehículos están provistos por la empresa de un sistema que permite selectivamente apagar el motor de los coches si los compradores/o personas que los alquilan, no pagan a fin de mes las cuotas correspondientes. Un empleado de TI despedido decide que como medida de protesta, accede a los sistemas se la empresa (del cuál se sabe la contraseña) que permiten habilitar el mecanismo de corte de corriente de arranque de todos los coches de la flota.
Lógicamente, y para evitar accidentes, el sistema no funciona si el coche está en movimiento, imagina que estás adelantando en una carretera de doble sentido y te apagan el motor. Así pues, en la primera parada que los conductores hicieron, no fueron capaces de volver a arrancar los vehículos. A la empresa le llovieron montones de quejas de usuarios que pagaban sus cuotas religiosamente y su vehículo había quedado inutilizado durante varios días. Para haceros la historia corta, traceando la IP origen, la policía logró identificar al individuo y procesarle.
Amenizando una presentación importante,… con porno!
Básicamente, un tipo despedido de una compañía, se las ingenia para instalar algún tipo de herramienta que captura credenciales en diversos PCs, entre ellas las de su jefe (el brazo ejecutor de su despido). Desconozco si fue un keylogger, o alguna herramienta de análisis de tráfico de red con capacidades Man in the Middle del tipo de Ettercap o Cain & Abel.
Durante un mes, el atacante se conectó más de 100 veces a la red de la empresa, y se dedicó a "liarla parda" sembrando cizaña y confusión, reenviando correos con la cuenta de otro empleado o su jefe. Como tenía acceso al correo de su jefe, se enteró que éste iba a llevar a cabo una importante presentación, junto el Consejo Directivo de la compañía, ante importantes personalidades de la ciudad. En medio de la presentación, el atacante se conectó remotamente, cambió una de las transparencias de la presentación original por una con contenido pornográfico.
Desconozco si el protagonista del ataque seguía en Twitter a @artepresentar, pero la idea debió amenizar bastante el "aburrido powerpoint"… y de paso sacar unos cuantos colores al "ex-jefe", aunque fue identificado y multado por ello.
El Silencio de las Contraseñas
Otro individuo que conocía las contraseñas de acceso a cualquier red de las redes municipales de la Ciudad de San Francisco. Básicamente, conocía dichas contraseñas, puesto que él había diseñado desde el principio dichas redes. Este tipo se entera que va a ser despedido proximamente. Por ello, decide que como él diseñó y creó dichas redes, le pertenecen. Después, modifica los permisos de acceso de otros usuarios a las mismas, quedando sólo su usuario con permisos de administrador.
Sus jefes se dan cuenta de ello y le exigen las contraseñas necesarias para poder crear más administradores y volver a tener el control de acceso a la red. El tipo se niega a decirlas. por lo que es arrestado y aislado en una celda de una comisaría. Después de 12 días de arresto, decide que revelará la contraseña de administrador, siempre y cuando sea el propio Alcalde de la ciudad quien vaya a hablar con él y se la pida. Finalmente, el Alcalde accedió a entrevistarse en la celda del ex-empleado para conocer la contraseña maestra.
Nuevo McMenu; ahora con WIFI (y celda) gratis
Otra compañía que despide a un individuo vengativo de malas maneras. El individuo decide atacar a su ex-compañía, intentando acceder mediante ataques de fuerza bruta o diccionario, a través de sistemas de conexión remota a las redes de la misma.
Le cuesta tiempo y esfuerzo, pero finalmente logra acceder con un usuario válido. El tipo conoce perfectamente la infraestructura de la compañía y decide borrar del mapa 15 virtual hosts con información crítica de la compañía. Para realizar la fechoría utiliza una red wireless gratuita ofrecida por un McDonalds. De esta manera, el individuo pensó que sus acciones permanecerían en el mayor de los anonimatos. Quizá habría sido más fácil si hubiera pagado su McMenú con dinero en efectivo en vez de con su tarjeta de crédito, 5 minutos antes de llevar a cabo el ataque. Otro caso documentado de accesos ilícitos a sistemas remotos mediante pares usuario/contraseña, es el de un ex-empleado que no cobró su última nómina. Decidió acceder remotamente a la red de su ex-compañía y cepillarse la base de datos de nóminas,.. "Si yo no cobro, los demás tampoco!". Éste no se tomó tantas molestias y decidió hacer el ataque desde su propia casa…. Ambos fueron juzgados y condenados.
#./dominar_el_mundo.pl
Un empleado con solera, de los que llegó a ser la estrella de la compañía en su día, años atrás, harto de su actual situación en la que la sangre nueva lo ha ido apartando, piensa que próximamente va a ser despedido y decide planificar una venganza "le-gen-daria".
Durante el suficiente tiempo, el fulano en cuestión se va llevando a casa TODOS los backups realizados en cinta, y metódicamente va eliminando su contenido. Según se van haciendo backups nuevos, él los borra y vuelve a dejar las cintas en su sitio. Así, espera a que el momento del despido llegue… y éste, no tarda en llegar. Cuando esto pasa, antes de irse deja una bomba lógica (en 6 líneas) lista para activarse en determinada fecha y.... Fin de la historia. Efectivamente, se cepilló toda la información de valor de la compañía, y no hay backup. Por lo visto, fue el fin de aquella compañía... y bueno, también el del protagonista vengador de esta historia que se pegó tres años a la sombra y se le exigió el pago de una multa de - atención - "2 millones de dólares".
Conclusiones:
Sea una concesionario de coches de alquiler. Dichos vehículos están provistos por la empresa de un sistema que permite selectivamente apagar el motor de los coches si los compradores/o personas que los alquilan, no pagan a fin de mes las cuotas correspondientes. Un empleado de TI despedido decide que como medida de protesta, accede a los sistemas se la empresa (del cuál se sabe la contraseña) que permiten habilitar el mecanismo de corte de corriente de arranque de todos los coches de la flota.
Lógicamente, y para evitar accidentes, el sistema no funciona si el coche está en movimiento, imagina que estás adelantando en una carretera de doble sentido y te apagan el motor. Así pues, en la primera parada que los conductores hicieron, no fueron capaces de volver a arrancar los vehículos. A la empresa le llovieron montones de quejas de usuarios que pagaban sus cuotas religiosamente y su vehículo había quedado inutilizado durante varios días. Para haceros la historia corta, traceando la IP origen, la policía logró identificar al individuo y procesarle.
Básicamente, un tipo despedido de una compañía, se las ingenia para instalar algún tipo de herramienta que captura credenciales en diversos PCs, entre ellas las de su jefe (el brazo ejecutor de su despido). Desconozco si fue un keylogger, o alguna herramienta de análisis de tráfico de red con capacidades Man in the Middle del tipo de Ettercap o Cain & Abel.
Durante un mes, el atacante se conectó más de 100 veces a la red de la empresa, y se dedicó a "liarla parda" sembrando cizaña y confusión, reenviando correos con la cuenta de otro empleado o su jefe. Como tenía acceso al correo de su jefe, se enteró que éste iba a llevar a cabo una importante presentación, junto el Consejo Directivo de la compañía, ante importantes personalidades de la ciudad. En medio de la presentación, el atacante se conectó remotamente, cambió una de las transparencias de la presentación original por una con contenido pornográfico.
Desconozco si el protagonista del ataque seguía en Twitter a @artepresentar, pero la idea debió amenizar bastante el "aburrido powerpoint"… y de paso sacar unos cuantos colores al "ex-jefe", aunque fue identificado y multado por ello.
Otro individuo que conocía las contraseñas de acceso a cualquier red de las redes municipales de la Ciudad de San Francisco. Básicamente, conocía dichas contraseñas, puesto que él había diseñado desde el principio dichas redes. Este tipo se entera que va a ser despedido proximamente. Por ello, decide que como él diseñó y creó dichas redes, le pertenecen. Después, modifica los permisos de acceso de otros usuarios a las mismas, quedando sólo su usuario con permisos de administrador.
Sus jefes se dan cuenta de ello y le exigen las contraseñas necesarias para poder crear más administradores y volver a tener el control de acceso a la red. El tipo se niega a decirlas. por lo que es arrestado y aislado en una celda de una comisaría. Después de 12 días de arresto, decide que revelará la contraseña de administrador, siempre y cuando sea el propio Alcalde de la ciudad quien vaya a hablar con él y se la pida. Finalmente, el Alcalde accedió a entrevistarse en la celda del ex-empleado para conocer la contraseña maestra.
Otra compañía que despide a un individuo vengativo de malas maneras. El individuo decide atacar a su ex-compañía, intentando acceder mediante ataques de fuerza bruta o diccionario, a través de sistemas de conexión remota a las redes de la misma.
Le cuesta tiempo y esfuerzo, pero finalmente logra acceder con un usuario válido. El tipo conoce perfectamente la infraestructura de la compañía y decide borrar del mapa 15 virtual hosts con información crítica de la compañía. Para realizar la fechoría utiliza una red wireless gratuita ofrecida por un McDonalds. De esta manera, el individuo pensó que sus acciones permanecerían en el mayor de los anonimatos. Quizá habría sido más fácil si hubiera pagado su McMenú con dinero en efectivo en vez de con su tarjeta de crédito, 5 minutos antes de llevar a cabo el ataque. Otro caso documentado de accesos ilícitos a sistemas remotos mediante pares usuario/contraseña, es el de un ex-empleado que no cobró su última nómina. Decidió acceder remotamente a la red de su ex-compañía y cepillarse la base de datos de nóminas,.. "Si yo no cobro, los demás tampoco!". Éste no se tomó tantas molestias y decidió hacer el ataque desde su propia casa…. Ambos fueron juzgados y condenados.
Un empleado con solera, de los que llegó a ser la estrella de la compañía en su día, años atrás, harto de su actual situación en la que la sangre nueva lo ha ido apartando, piensa que próximamente va a ser despedido y decide planificar una venganza "le-gen-daria".
Durante el suficiente tiempo, el fulano en cuestión se va llevando a casa TODOS los backups realizados en cinta, y metódicamente va eliminando su contenido. Según se van haciendo backups nuevos, él los borra y vuelve a dejar las cintas en su sitio. Así, espera a que el momento del despido llegue… y éste, no tarda en llegar. Cuando esto pasa, antes de irse deja una bomba lógica (en 6 líneas) lista para activarse en determinada fecha y.... Fin de la historia. Efectivamente, se cepilló toda la información de valor de la compañía, y no hay backup. Por lo visto, fue el fin de aquella compañía... y bueno, también el del protagonista vengador de esta historia que se pegó tres años a la sombra y se le exigió el pago de una multa de - atención - "2 millones de dólares".
Conclusiones:
- Empleados de IT despedidos: La IP origen os delata, ojo a TOR o herramientas comoProxyfire. Los pagos con tarjeta, las posiciones GPS, la actividad de un móvil, todo es traceable…. Y aún así, no podréis estar seguros de que todo ha sido tenido en cuenta. No quiero incitar a nadie a cometer actos delictivos. La mejor forma de dormir tranquilo es tener siempre presente que "quien nada hace, nada teme".
- Empresas: Cuando se despide un empleado, se toman medidas para evitar accesos remotos desde su usuario:
- Se bloquean las cuentas de usuarios inexistentes, se aconseja modificar las contraseñas a otros usuarios con acceso remoto (por si alguna vez el despedido tuvo conocimiento de la contraseña de un compañer@) y se advierte al resto del personal que esa persona ya no trabaja en la compañía, para evitar que sean víctimas de unataque de ingeniería social. La utilización de tecnologías de autenticación fuerte, también son útiles para evitar estos problemas.
- Por supuesto, es una muy mala práctica la utilización de contraseñas de uso compartido. Una de las mejores costumbres es aplicar convenientemente la granularidad de permisos y, aplicar la Ley de Mínimo Privilegio y del Necesidad de Conocimiento.
- Suele ser útil que los logs generados por ataques de fuerza bruta ante servicios críticos o de autenticación remota, levanten algún tipo de alerta que alguien pueda comprobar.
- Las estrategias de Recuperación ante Desastres y los Planes de Continuidad de Negocio recomiendan que los backups, además de existir y hacerse de forma periódica suficiente, se almacenen en una localización apartada del site principal.
- Empleador: Cuidado con cómo despides a tus chicos de IT, que al final, como dice el dicho: "Más vale un mal arreglo que un buen pleito"
Fuente: Security by Default
Fuente original: Cracked.com
