En el siguiente artículo, Rik Ferguson hace una reflexión sobre el ataque que ha sufrido KPN y el peligro que supone trabajar con sistemas y aplicaciones desactualizadas.
Diario Ti: El pasado miércoles 8 de febrero, el gigante holandés proveedor de servicios de Internet (ISP), KPN, anunció que sus redes habían sufrido un ataque. La primera vez que KPN se dio cuenta de que se había producido una brecha de seguridad fue en torno al 27 de enero, momento desde el que han trabajado con el Centro Nacional de Ciber-Seguridad (OPTA), la Agencia de Protección de Datos, el Ministerio de Economía, Agricultura e Innovación, el Ministerio de Justica y Seguridad, y el Fiscal del Estado para vencer y localizar al intruso o intrusos.
En enero se tomó la decisión de no hacer público el anuncio sobre esta intrusión, decisión aparentemente basada en dos razones: incrementar las oportunidades de éxito de la investigación y reducir la posibilidad de que los hackers pudieran hacer algún tipo de daño si sabían que habían sido descubiertos.
En el comunicado inicial, KPN reconoció que algunos datos de sus clientes podrían haberse visto afectados, pero la compañía afirmó que los servidores que contienen datos de tarjetas de crédito o contraseñas no estaban comprometidos.
Un día después de esta anuncia, una lista de 539 cuentas de usuarios de KPN (nombre, dirección, dirección de correo electrónico y contraseña en un texto claro) se subieron en un pastebin. No había ningún contexto directo dado por los datos ni se sabía de dónde procedían, el título del post era simplemente "KPN HACK PROOF, KPN houdt vol: geen klantgegevens gestolen", que traducido significa: "KPN insiste: no hay datos de clientes robados", por lo que la insinuación de que los dos eventos estaban relacionados era muy clara.
Cómo resultado de esta fuga de datos, KNP inmediatamente cerró de forma temporal el acceso a los 2 millones de cuentas de correo electrónico de los usuarios (como medida de precaución). Transcurrieron más de 25 horas antes de que KPN fuera capaz de restaurar el servicio de correo electrónico saliente a sus clientes la noche del viernes, y no fue hasta el sábado cuando los servicios de email entrante fueron restaurados. Al mismo tiempo, KPN dedicó ancho de banda y servicios extra con el fin de permitir a todos sus clientes acceder a un proceso online para restablecer de contraseña. Los servicios a empresas no se han visto afectados aunque también se recomienda a los usuarios corporativos cambiar sus contraseñas. El domingo a mediodía más de 100.000 clientes ya lo habían hecho.
En un artículo publicado este fin de semana se quedaba claro que las cuentas de 537 usuarios no estaban asociadas a este ataque. En cambio, las cuentas de usuario son un subconjunto de una lista más larga robada a principios de año de la tienda online babydump.nl. La información publicada está, por lo menos, un año desfasada aunque varias de las víctimas en la lista no eran conscientes de que su información había sido robada o filtrada.
Según el análisis de KPN, de acuerdo con la información ofrecida por el atacante confeso, la razón que hay detrás del éxito de esta intrusión fue el uso de un software obsoleto. Según el hacker, el primer sistema atacado estaba ejecutando SunOS 5.8 con el parche 108528-29, una versión de 2004. El soporte a SunOS 5.8 finaliza el próximo mes. Además, los hackers aseguran haber descargado al menos 16 GB de datos, que posteriormente han destruido, y haber vulnerado los sistemas hasta el punto en que fueron capaces de controlar individualmente el acceso a Internet de un cliente.
KPN parece estar, en gran parte, de acuerdo con las afirmaciones del hacker, pues en su declaración hoy dice: “Varios expertos en sus análisis sobre la irrupción digital que ha tenido lugar han sugerido que KPN estaba utilizando sistemas obsoletos, y que tampoco actualiza los datos periódicamente. Joost Farwerck, Director de KPN en Holanda, insiste en que la evolución en nuestro sector se produce muy rápido. Dicho esto, y tras la investigación en las últimas semanas hemos visto que el mantenimiento de los sistemas de TI de Internet no ha sido siempre óptimo. Tomamos nota y aprendemos la lección para mejorar el servicio a nuestros clientes y hacerlo más seguro".
Como si la debacle de Sony no fuera suficiente, aquí encontramos otra buena lección de que los sistemas vulnerables y obsoletos no deben verse expuestos en Internet si no están debidamente protegidos. Es relativamente sencillo descubrir las versiones de sistemas operativos y aplicaciones que se están ejecutando en un servidor determinado, e incluso es una tarea aún más fácil descubrir las vulnerabilidades reveladas
Aunque puede ser poco realista esperar que una empresa instale todos y cada uno de los parches en cuanto estos están disponibles, en un sistema que no esté protegido adecuadamente, con un sistema operativo obsoleto desde hace ocho años y con compilación de aplicaciones, es injustificable. Incluso las empresas internamente deberían proteger las vulnerabilidades conocidas con un software de seguridad efectivo contra intrusiones en el host hasta que los parches se hayan desplegado y hayan sido instalados de la manera más oportuna posible. No seas el próximo KPN.
Si crees que tu cuenta puede haberse visto afectada por esta intrusión, el servicio para restablecer la contraseña es éste, aunque parece estar bajo una sobrecarga en estos momentos y es complicado obtener respuesta.
Si desea información adicional, visite: countermeasures.trendmicro.eu
No hay comentarios:
Publicar un comentario
Nota: solo los miembros de este blog pueden publicar comentarios.