Sony está propiciando lo que a día de hoy es uno de los ‘hacks’ más comprometidos y espectaculares que se han llevado a cabo a una empresa de renombre internacional.
Hace no mucho el virus LizaMoon utilizaba una vulnerabilidad básica SQL Injection para propagarse y así transportar el virus por toda la red.
Según unas fuentes: “Parece ser que se camufló como una compra normal, lo que permitió atravesar el frontal web y llegar al servidor de aplicaciones. Explotando una vulnerabilidad desconocida por Sony, lograron instalar software mediante el cual pudieron acceder a la BBDD con la información crítica. Lo que no queda claro es si era una vulnerabilidad ’0-day’ o es que no han parcheado el servidor de aplicaciones nunca.”
En todo caso lo que sí queda claro es que la web ha vuelto a ser el talón de aquiles de una empresa que comunica sus datos con el frontal expuesto y las medidas de seguridad jamás son las suficientes.

El ataque según Sony

Más información en http://www.vandal.net/noticia/55869/sony-explica-como-hackearon-playstation-network/

Los hackers están dispuestos a entrar en sitios web para robar:

• datos confidenciales
• números de tarjetas de crédito
• detalles de cuentas bancarias
• listas de clientes,
• direcciones de correo electrónico
• contraseñas para hacerse pasar por ellos y realizar actos en su nombre

entre otros…

Para reducir el riesgo de pérdidas financieras, daños a la marca, el robo de la propiedad intelectual, responsabilidad legal y las multas, estas vulnerabilidades deben ser rigurosamente descubiertas y protegidas.  No vale con preocuparse “después” o pensar en que “a mí no me pasará”. Un tanto por ciento muy elevado de atacados pensaban exactamente lo mismo antes de que un “defacing” (cambiar la página principal de su web) colocara su meticuloso SEO a 15 páginas más allá y, además, ofreciera una pésima imagen de marca.

Utilizando una solución que puede llevar a cabo análisis periódicos de una manera barata y administrar fácilmente tiene usted un gran trecho ganado a la ciberdelincuencia.

¿Sabía que más de 10.000 nuevas vulnerabilidades que se descubren cada año?

Incluso si no ha cambiado nada en su aplicación web ésta ya es vulnerable a más de 800 nuevas amenazas descubiertas cada mes. Para saber si su aplicación es segura haga tests periódicamente para ver si es vulnerable a ataques debido a la configuración del servidor incorrecta, comunicación inseguras, débiles controles de acceso, el tráfico sin cifrar, obsolescencia del software o incluso una incorrecta programación.

Página bloqueada por Google ¿Esto ven mis clientes?

Es cada vez más común tener noticias sobre webs que han sufrido ataques que han perjudicado seriamente su funcionamiento, con consecuencias importantes para la empresa o el particular.

No se arriesga únicamente su contenido y el desarrollo de negocio, sino que además puede provocar deterioro de la imagen, phishing, lecturas de contraseñas, suplantaciones, visión de datos privados y sensibles, robo de datos (y por tanto incumplimiento de la Ley de Protección de Datos), borrado de datos, etc.
En la mayoría de los casos estos ataques suelen ser indiscriminados y automatizados. No buscan la web de una empresa en concreto, sino que buscan una web que sea vulnerable y prácticamente todas las webs y servidores web contienen vulnerabilidades, siendo por tanto susceptibles de ser atacadas.

¡Google nos ha bloqueado! ¿Qué hacemos?

¿Me van a atacar?

Lo más probable es que sí. ¿Pero por qué? ¿Es mi competencia? Afortunadamente no, un hacker busca una oportunidad de demostrar su valía y además requiere el reconocimiento publicando dicha vulnerabilidad por Internet, con lo que su web ya no se convierte en el objetivo ocasional de un solo hacker, si no que cualquier persona podría encontrar dicha vulnerabilidad.

Existe el caso de los llamados “script-kiddies”, que es un caso particular de individuos que realiza ataques y que ejercen de presuntos “hackers” y se dedican a utilizar los programas que ya se encuentran al alcance de la comunidad para realizar sus ataques. Es un término despectivo, debido a que no usan programas desarrollados por ellos mismos y, se presume, no tienen los conocimientos necesarios para obtenerlos, pero buscan el reconocimiento y un mérito que no se les puede atribuir.

Así entonces, el número de personas que pueden atacar nuestra web crece a medida que el tiempo pasa de forma espectacular, que nuestro software se va quedando anticuado, que los hackers está desarrollando e ideado nuevas formas de ataques y que los “script-kiddies” están con un ojo puesto a ponerse medallas a costa de quien sea.

Así pues, cualquier web que esté en el ámbito de Internet es susceptible de ser atacada:

• Por una vulnerabilidad que afecta directamente a la máquina donde se encuentra alojada nuestra web.
• Por una vulnerabilidad de programación: ya sea error de programación u obsolescencia.

Los datos son incontestables, según un artículo de “The Web Apllication Security Consortium”, más de un 18,77% de las web que analizaron en un estudio, tienen vulnerabilidades consideradas como muy críticas o graves,  casi un 50% las tienen críticas, y un 73% tienen las consideras como altas.

Teniendo en cuenta que nuestra propia web, según las estadísticas, tiene aproximadamente un 50% de tener una vulnerabilidad crítica,

¿Por qué no somos conscientes?

Es de suponer que la mayoría de casos se realiza por un completo desconocimiento. La mayoría de clientes, por no decir el 100% que acudieron a Cerberus-Zero tenían un muy serio problema:

Un ataque dejó al descubierto que unos hackers habían entrado en su sistema (posteriormente se descubrió que mediante ataques automatizados por SQL Injection) dejando código por todas sus páginas que era potencialmente maligno; ¿a que se enfrentaban?

• En algunos casos los antivirus de los clientes daban la señal de alarma.
• En otros el llamado ‘malware’ se introducía dentro de sus clientes con la consiguiente queja y mala percepción de la imagen de la empresa.
• En el peor de los casos, Google detecta que nuestra página contiene código dañino y nos bloquea: con todo lo que habíamos trabajado para situarla en una buena posición. Y  todo ocurrió en un solo día.

Lo peor de todo es que ese código que inyectaron a la web podría haberse evitado tomando las medidas oportunas.

Hasta que uno no ve las consecuencias que ello le puede acarrear no se preocupa en absoluto de poderlo evitar, pues no es consciente que una página web que es, recordemos, la puerta al mundo Internet y potencialmente de un tanto por ciento muy elevado de clientes, pueda contener todo este abanico de posibilidades reales.

Lo primero que nos decían era: “Yo no sabía que esto era posible”, es más, en la mayoría de casos había un desconocimiento en la forma en la que se producía el fallo: “No sé qué pasa”. Ante eventos que desconocemos nos sentimos muy indefensos cuando se producen, pero lo que es peor, nos crea una falta sensación de seguridad al no conocer los peligros a los que potencialmente nos enfrentamos.

Una empresa que gasta de media unos 20.000€ en realizar una web, y además luego suma los gastos de márketing directo y viral en unas campañas agresivas en Internet, no pueden obviar la parte de seguridad si no quiere que todo su trabajo acabe siendo víctima de una vulnerabilidad que pudo ser evitada.

Pero al marge de lo que se pueda gastar uno en una página web, hay que plantearse qué perderíamos si nuestra página web dejara de funcionar un día entero, o incluso una semana entera con un mensaje en la portada de un hacker que intenta llamar la atención o una redirección a otra página de contenido adulto.

Así pues, la pregunta que la gente con web debe hacerse es: ¿es mi web vulnerable?

Federico Montes Quiles

IT Manager