SU BANCO ES SEGURO, ¿NO? DAVID CARMONA FERNÁNDEZ 1

1

SU BANCO ES SEGURO, ¿NO?DAVID CARMONA FERNÁNDEZ

Su banco es seguro, ¿no?

2

En la lejana Estonia

Estonia, que es el lugar donde ocurren las historias que cuenta el libro, es una ciudad mucho mas moderna de lo que la gente piensa, país de 1,3 millones de habitantes situado entre Rusia y el golfo de Finlandia perteneciente a la Unión Europea desde 2004.

Las compañías estonias ofrecen tecnología y servicios informáticos a otros países europeos.

En lo referente a la seguridad en Internet, éste es, en general, un buen lugar por el hecho de que el país y las comunidades son muy pequeños. A los proveedores de servicios les resulta muy fácil implementar las tecnologías.

Más del 90 o 95 por ciento de los particulares y las empresas hacen transferencias por Internet. Y utilizan las tarjetas de crédito.


3

El banco de Perogie

Al entrar en un sitio web, que denomina el Banco de Perogie, entra en la sección interactiva de preguntas más frecuentes y mira el código fuente de los formularios de la web.

Vio que el sistema de archivos era del tipo que utilizaba Unix. Encontró una variable oculta que apuntaba hacia un nombre de archivo, y cuanto intentaba cambiar algún valor no le pedía ningún tipo de autentificación, y cambio una variable para que le apuntara al archivo que contenía las contraseñas y se lo mostrara por pantalla.

Una vez mostrado el archivo descargo las contraseñas cifradas y utilizo un programa para descifrarlas llamado “John the ripper” y lo aplico utilizando un diccionario estándar de ingles.

Después de esto una vez sacadas las contraseñas paraba y tras anunciárselo a su empresa y al banco, su empresa recibió una oferta para investigarlo y encontrar una solución para el agujero.


4

De experiencias como ésta, se llega a la conclusión que lo que más interesa a una empresa cuya seguridad ha sido comprometida, no es denunciar al hacker, sino trabajar con él para solucionar los problemas que haya descubierto. Sería algo así como la filosofía de "si no puedes con el enemigo, únete a él".


5

Un hacker se hace, no nace

El sujeto de este apartado, nos cuenta como empezó en este mundo a la edad de 15 años, lo que se considera tarde. También, sufrió las burlas se sus compañeros en el instituto por ser considerado diferente.

Sus padres no entendían su obsesión por los ordenadores, hasta incluso llevarlo a un psicólogo para que le ayudara a normalizarse, y tampoco nunca quisieron comprarle un ordenador.

La diferencia entre un hacker y los "script kiddies", es que no descubren nada por sí solos, sino que se dedican a descargar lo que encuentran en la Web.


6

Uno de sus programas favoritos era el Spy Lantern Keylogger, que tenía la capacidad de seguir de cerca electrónicamente a la gente mientras trabaja.

Además, también utilizaba la función de "supervisión" que ofrece la aplicación llamada Citrix MetaFrame, que permitía que los administradores del sistema supervisaran y ayudaran a los empleados de la empresa de forma remota. Permitiendo ver todo lo que hay en la pantalla e incluso tomar el control del ordenador.

Poco a poco empezó a utilizar esta herramienta solo como prueba y empezó a introducirse en ordenadores de personas hasta que se dio cuenta de que en varias ocasiones esas personas también se dieron cuenta de que el los estaba viendo.


7

La intrusión en el banco

Encontró detalles sobre las direcciones IP del banco de Dixie, y se dio cuenta de que los servidores ejecutaban Citrix MetaFrame que le permitía a los usuarios acceder remotamente a su estación de trabajo.

Utilizo un escáner de puertos para explorar los ordenador conectados a la red e identificar los puertos abiertos. Cuando encontraba uno, examinaba los archivos del ordenador buscando la palabra contraseña hasta que encontró la contraseña del cortafuegos del banco.

Consiguió conectarse a un router el cual tenia la contraseña por defecto y una vez dentro añadió una regla de cortafuegos para permitir conexiones entrantes al puerto 1723.

Este puerto lo utilizan los servicios de red privada virtual (VPN) de Microsoft, diseñados para permitir que usuarios autorizados puedan tener una conectividad segura a lar red corporativa.


8

Tras autentificarse en el servicio VPN se asigno a su ordenador una IP interna del banco. Descubrió un informe almacenado en un servidor que listaba todas las vulnerabilidades de seguridad que el equipo había encontrado.

El banco utilizaba como servidor un IBM AS/400, y encontró el manual de operaciones de las aplicaciones utilizadas en ese sitema. Instaló el Spy Lantern Keylogger hasta que se registro un administrador y el capto su contraseña.

A partir de aquí tuvo la posibilidad de realizar todas las actividades de un cajero: transferir fondos, ver y cambiar la información de las cuentas de un cliente, observar la actividad de los cajeros automáticos de todo el país…


9

A continuación instaló un programa para obtener los hashes de contraseñas del controlador de dominio llamado PwDump3 para extraerlos.

El programa funcionaba de manera que cuando el administrador se autentificara este pasaría todas las contraseñas sigilosamente a un archivo hasta que se registro, guardo todas las contraseñas y ejecuto un programa para craquearlas.


10¿A alguien le interesa una cuenta bancaria enSuiza?

Encontró el camino hacia el proceso para generar transferencias. Y También descubrió el formulario online utilizado por un grupo restringido de empleados autorizados que tienen autoridad para procesar transacciones.

En el manual de instrucciones que había localizado anteriormente había un capitulo que detallaba los procedimientos exactos para enviar una orden desde ese banco para transferir fondos a la cuenta de una persona de otra institución financiera.


11

Posteriormente

A pesar de disponer acceso a muchas partes del sistema del banco, no puso la mano en la caja.

Encontró muchos documentos sobre la seguridad física, pero no es suficiente para un banco, los esfuerzos realizados para la seguridad física son buenos aun que no dedicaron la atención necesaria a la seguridad informática.


12

DILUCIDACIÓN

El sitio web de Estonia fue un objetivo fácil, vio el fallo en el código fuente de la pagina web, lo utilizo para acceder al archivo con las contraseñas del servidor, mostrarlas por pantalla y las visualizó.

La intrusión del banco es otro ejemplo de la necesidad de defensa en profundidad, la red del banco estaba plana, no contaba con protección suficiente a parte del servidor Citrix y el atacante pudo conectarse a todos los sistemas de la red.

El personal se confió ante la falsa sensación de seguridad.


13

CONTRAMEDIDAS

El sitio web del banco debería haber solicitado las prácticas fundamentales de programación segura. La mejor práctica es limitar la cantidad de información que introduce el usuario y que se pasa a un script del lado del servidor.

Una lista parcial de las contramedidas incluiría: Comprobar en todas las cuentas cuando se cambio por ultima vez cada contraseña.

Restringir los registros de usuarios interactivos a las horas de trabajo.

Habilitar auditorias al iniciar y al cerrar la sesión en cualquier sistema al que se pueda acceder de forma inalámbrica.

Implementar programas para detectar registradores de tecleo no autorizados.

Comprobar los sistemas a los que se puede acceder desde el exterior para saber si hay software de control remoto.

Inspeccionar minuciosamente todos los accesos que utilicen Windows Terminal Services o Citrix MetaFrame.


14

LA ÚLTIMA LÍNEA

Las intrusiones comentadas se basan en aprovechar la escasa seguridad de las contraseñas de las empresas y los scripts CGI vulnerables.

Muchos de estos ataques no son tan complejos como parecen, sin embargo, lograron sus objetivos por que las redes de las empresas no estaba correctamente protegidas.

La gente responsable de desarrollar y colocar estos sistemas en producción está cometiendo errores muy básicos de configuración o despistes de programación.

Documents

SU BANCO ES SEGURO, ¿NO? DAVID CARMONA FERNÁNDEZ 1