Clase XVIII - 26092019 - Serie Mr. Robot
SERIE MR. ROBOT / RESPUESTAS
Período:
Minuto 0 a 7’.
El protagonista de la serie, en este primer período,
actúa como hacker, experto en seguridad informática que comete ciber delitos
con la intención de proteger a víctimas inocentes de abusos.
Vector de ataque:
š Objetivo:
interrumpir la continuidad del negocio.
š Inteligencia
previa, obtuvo nombre real, historia de vida y listado de bienes.
š Reconocimiento
del punto objetivo de ataque, utilizando sniffing (intercepción de tráfico /
datos en la red). Sitio Web Plato’s Boys + Red TOR. Ataque pasivo que le
permitió conocer el origen y
destinatario de la comunicación, [con ello se determina la
localización y la identidad de los anfitriones (emisor, receptor)], el control de volumen de tráfico intercambiado
entre las entidades monitoreadas, (de esta forma se obtienen todos los datos
necesarios para percatarse de la actividad o inactividad inusuales) y el control de las horas habituales del
intercambio de datos entre las entidades de la comunicación, (con ello se
extraen los datos acerca de los periodos de actividad).
š Suplantación
de identidad y recolección de información, para provocar un impacto adverso y
obtener acceso no autorizado a sistemas e información sensible (ataque activo).
Actuó sobre activos informáticos (servidores, red de
comunicación) y de información ( imágenes, fotos, correos y archivos) .
Conociendo el modo de operar de la red TOR obtuvo el
control del tráfico de los nódulos de salida, vulnerabilidad que sumada a la falta de cifrado
de los datos[1]
, la probable desactualización de los parches del navegador y el incumplimiento
de las leyes y regulaciones, le permitió concretar el ataque. Afectando la
integridad de la red y la confidencialidad de los datos, el ataque interrumpió
la continuidad del negocio.
Dejó evidencia digital anónima, en los archivos de registro
de la red (ubicación, coordenadas de geo posicionamiento) y hora actual, no visibles por las herramientas tradicionales
usadas por el usuario. Dio aviso a la policía.
Derribó las protecciones de red, servidores, aplicación y
datos del sistema de defensa por capas para ingresar al sistema.
Incumplió con las sig. leyes ( si el evento hubiera
ocurrido en Argentina):
·
Ley de protección de datos personales
·
Ley de propiedad intelectual
·
Ley de delitos informáticos
¿Si tuviera que explicar la situación planteada en la
escena (30”), a alguien que no está interiorizado de los términos informáticos
que utiliza el protagonista, qué diría?
“… la empresa AllSafe se encarga de gestionar los riesgos
sobre activos informáticos y de información de terceros, cuya dirección ha
decidido transferir el tratamiento de
los mismos”.
“… en esta escena los protagonistas están evaluando un
ataque a la red de uno de sus clientes
que atenta contra la disponibilidad de sus recursos”.
“… la amenaza no
se encuentra detallada, puede ser interna o externa, producto de hacktivistas o
de falta de políticas de seguridad de la información”.
“… el ataque, por ser activo, dejo huellas
en los archivos de registro. Pudieron haber utilizado bots para
realizarlo”.
“…según la primera evaluación hecha por el técnico en
seguridad informática, se trata de un ataque interrupción de servicios sobre la
red corporativa que AllSafe protege. Se trata de un ataque DDoS realizado con RUDY”.
DDoS son
las siglas de Distributed Denial of Service. La traducción es “ataque
distribuido de denegación de servicio”, lo que significa que se ataca al
servidor desde muchos ordenadores para que deje de funcionar.
Para
explicarlo una simple analogía basta. Supón que el servidor es un auxiliar que
atiende a personas en una ventanilla.
El
auxiliar es muy eficiente y es capaz de atender a varias personas a la vez sin
despeinarse: es su carga normal.
Pero un
día empiezan a llegar cientos de personas a la ventanilla a solicitar
su atención.
Y como
cualquier humano normal, cuando hay mucha gente exigiendo atención, no puede
atender a todos y empieza a trabajar más lento de lo normal.
Si viene
todavía más gente probablemente acabe hasta las narices, se marchará de la
ventanilla y ya no atenderá a nadie más.
En el
servidor pasa lo mismo: cuando hay demasiadas peticiones se queda sin
recursos, se cuelga y deja de funcionar.
Puede
que se apague directamente o que sólo deje de responder a las conexiones.
De
cualquiera de las dos formas, el servidor no volverá a la normalidad hasta que
el ataque pare, ya sea porque los atacantes han parado o porque se logrado bloquear
las conexiones ilegítimas, y se reinicie todo lo que haya dejado de funcionar”.
“… RUDY
es una herramienta informática de denegación de servicio (DoS) utilizada por
los piratas informáticos para realizar ataques lentos de baja velocidad a los
servidores de una red. Proviene de RU
(Are you) Dead Yeat? “.
“… el impacto del ataque,
conocido como riesgo, puede tener
consecuencias negativas en el ámbito
financiero de la empresa, deberían realizar acciones de corrección inmediata
para responder a la situación. La información generada por el incidente les permitiría responder de forma
sistemática en futuras ocasiones”.
Luego de la detección
y pre – análisis del incidente, la empresa (AllSafe) debería (completar
el ciclo de vida del mismo):
·
Realizar tareas de contención y / o erradicación
(notificación, análisis, contención y erradicación).
·
Realizar actividades de recuperación del incidente.
·
Realizar tareas de reflexión y documentación después del
incidente.
Vector de ataque:
š Reconocimiento
del punto objetivo mediante la inspección de los datos en redes sociales.
š Obtención
de emails, utilizando un ataque por fuerza bruta para obtener la clave de
acceso al correo electrónico.
š Suplantación
de identidad y recolección de datos para acceder a información confidencial (lectura
de correo), con el fin de construir un perfil
de la víctima.
El ataque fue pasivo, el protagonista actúa como hacker
con la intención de proteger a los integrantes de su círculo social de abusos,
por los que siente empatía. Sus acciones afectaron la confidencialidad de los
datos (clave de acceso a redes sociales y correo electrónico).
Vector de ataque:
- Seguimiento del objetivo mediante redes sociales (Seguidor en Instagram, mediante la observación de las publicaciones de fotos y comentarios obtuvo el lugar físico en donde se hallaba la víctima).
- Vulnerabilidad: Modo activo del GPS para las fotografías. Si las mismas son subidas a una red social o algún portal, esta modalidad puede indicar las coordenadas exactas de una ubicación física o de red. Ingeniería social para obtener información de la víctima (dirección de su vivienda).
- Vulnerabilidad: Ingenuidad del operador de teléfono de la agencia de taxis.
- Ingeniería social para obtener información de la víctima (teléfono – contacto).
Vulnerabilidades:
-
Ingenuidad, sorpresa de la víctima.
-
Error de configuración
del celular. Es sabido que los teléfonos actuales poseen una configuración
especial para ocultar llamadas salientes. Es decir, que a la persona que recibe
la comunicación, no le aparezca en pantalla el número del emisor de la llamada.
El ataque fue pasivo. Sus
acciones afectaron la confidencialidad de los datos del atacado.
Características del ataque:
Ataque activo: produjo cambios en la información y en los
recursos de un sistema.
š Interrupción
(Sistema lógico de red destruido, se vuelve no disponible. Afectó la
disponibilidad de los recursos de la red y con ello la de los activos digitales).
š Intercepción
(Programa, proceso o persona accede a una parte del sistema para la cual no
tiene autorización. Afectó la confidencialidad de los datos).
š Modificación desautorizada del
software instalado en el sistema víctima. Se compromete la integridad de la
información. El atacante obtuvo derechos de Administrador o Supervisor, con la
capacidad de disparar cualquier comando y por ende alterar o borrar cualquier
información que puede incluso terminar en la baja total del sistema.
š Suplantación (Una entidad no autorizada inserta
objetos falsificados en el sistema.
Afecta la autenticidad).
š Se determinó que fue externo (Estados Unidos, Finlandia, Tailandia, Kuwait) con el propósito de dejar fuera de servicio a la empresa.
š Se determinó que fue externo (Estados Unidos, Finlandia, Tailandia, Kuwait) con el propósito de dejar fuera de servicio a la empresa.
Activos vulnerados: Sistemas de operación de la red de
servidores, servidores, recursos digitales disponibles en los servidores,
activos intangibles (reputación,
imagen).
Vector de ataque:
Objetivo: Desestabilizar el sistema informático de la empresa
atacada.
Recursos: DDoS, Botnet y Rootkit.
Acciones / salvaguardas que implementan los ingenieros en
seguridad para resolver el problema.
-
Reconfiguración DNS.
-
Detención de servidor / servicios.
-
Reinicio de servidores
-
Reparto de carga
-
Redirección del tráfico.
Es un proceder pensado para mitigar el riesgo (identificarlo
de manera inmediata, detenerlo y evitar lo más posible que se propague).
El ciberataque derribó las sig. capas de defensa:
Perímetro, red intena, host, aplicaciones.
El coste para la empresa del incidente a gran escala, provocó
perdida de continuidad, extracción de información (pudo haber la fuga o pérdida
de datos), daños en la reputación e imagen, implicaciones legales y un alto
costo económico para la organización / marca (13M o +). Otros daños
colaterales: pérdida de interés por la
empresa de futuros inversores, costes extras asociados a solucionar los
problemas del incidente por parte de especialistas.
Vector de ataque que utilizó para obtener información:
Ingeniería social.
Vulnerabilidad que le permitió extraer datos de la
víctima:
Ingenuidad, sorpresa de la víctima, miedo (se anuncia
como personal del Dpto. de Fraudes de Seguriad Electrónica), cuenta
comprometida.
Datos vulnerados: Dirección, pregunta de seguridad, nombre de mascota.
De los principios de la tríada CID afectó la confidencialidad.
El ataque fue pasivo durante el proceso de ingeniería
social, activo durante el ataque por
fuerza bruta para obtener la contraseña.
El ciber delincuente.incumplió con las sig. leyes:
·
Ley de protección de datos personales
·
Ley de delitos informáticos
Suplantación de identidad para inculpar a la víctima,
cambiando en el archivo .Dat (logs de accesos) la dirección IP del ordenador
usado para el ciberdelito.
El ataque fue activo. Modificó el registro de acceso a la
red de servidores.
Afectó la confidencialidad, la integridad, la autenticidad y el no repudio de los
principios de SI.
[1] El tráfico que se envía a través de la
red Tor se transmite cifrado, pero una vez que sale a través del último nodo
(exit relay), el cifrado depende únicamente del sitio que se visita (Plato´s
Boys en el video), por lo que es recomendable conectarse a
sitios web que utilicen el protocolo para conexiones seguras.
Fuentes: https://www.welivesecurity.com/la-es/2014/08/13/5-consejos-seguridad-navegacion-anonima-tor/
- https://www.welivesecurity.com/la-es/2014/07/30/atacantes-intentan-quitar-anonimato-red-tor/