Ataque informático & hackeo de sitio web

Aunque se pude pensar que estos incidentes de seguridad los sufren particularmente las grandes empresas, la realidad es que se trata de una afectación general que se acentúa más en sitios pequeños.

Es común que en el caso de websites de tamaño mediano hacia abajo las metodologías empleadas por hackers para reconocimiento, preparación de herramientas, distribución, activación, instalación y control frecuentemente sean automatizadas, es decir, es posible que el atacante ni siquiera visite el sitio, y es así que valiéndose de estas sistematizaciones pueda afectar gran cantidad de páginas web.

1. Para un invasor es posible convertir el recurso ajeno en herramienta para generar dinero distribuyendo contenido o contribuyendo al posicionamiento de otros sitios.
2. Sabotaje, robo, alteración de información.
3. Vandalismo, daños sin causa aparente, solo por ocio o diversión tal como en los espacios públicos en las ciudades.

1. Facilidad propiciada por pocas o ninguna medida de seguridad, de modo contrario en páginas grandes donde la seguridad puede ser difícil de franquear.
2. Es común que la organización afectada no se de cuenta por períodos largos, de forma contraria a un sitio grande, lo cual es ms rentable para el hacker.

En este análisis de ciberseguridad se revisa el caso de le sitio web de la fabrica ENI un website chico donde el contenido es de carácter comercial y se muestra un catalogo de productos, esta alojado en un servidor de tipo apache, emplea una base de datos Msql y se vale de WordPress para administrar su contenido, tales características son el caso promedio de las paginas en internet.

1. Intrusión en el recurso y edición, mutilación, borrado del contenido, etc.
2. Obstrucción de la operación de alguno servicio.
3. Daño al funcionamiento o redireccionamiento de recursos.
4. Sustracción de información.

El website de la fabrica ENI fue atacado y hakeado en dos ocasiones, el dominio empezó a mostrar varias publicaciones promoviendo contenido de películas pirata disponibles en urls diferentes de este website.

Por un correo electrónico publicado por el atacante parece que se trata de hackers de Pakistán o la India, fuera de ello no se profundizo en el tema.

Por la mecánica de infiltración, cuyo objetivo fue incluir una pequeña cantidad de scripts que habilitan recursos externos, se identifica que no se trata de un ataque de tipo Spoofing, pues de haber sido así habrían tomado control pleno de la operación de sitio, tampoco se trata de inyección a la base de datos, se concluye entonces que el tipo de hacheo es Tampering, mediante alguna vulnerabilidad modificaron procesos y datos para poder incluir archivos Javascript dentro del servidor y habilitar al hacker hacer publicaciones bajo la url del dominio.

Las vulnerabilidades comprometidas en este incidente materializaron el abuso del recurso y daño la imagen de la empresa con posibles afectaciones económicas.

Después de restablecer el sitio a la normalidad en el primer evento no paso en un lapso mayor a 24 horas cuando el sitio volvió a tener el mismo problema, esto sugiere existe que monitoreo y ataques automatizados que posibilitaron una nueva intrusión de modo rápido y efectivo.

Siendo así, es claro que el sitio era monitoreado y se tenia claramente identificado el estado, tanto como posibles cambios a recursos y vulnerabilidades. Quizá desde el principio el blanco fue algún plugin y a través de el se ingresaron archivos al hospedaje mediante alguna forma de rebasar los controles del servidor (Bypassing client-side controls).

Aunque el daño fue mitigado en su duración gracias monitoreo sistematizado de la continuidad de operación y una recuperación pronta apoyada en respaldos del material, es posible que el daño se pudiera haber evitado con barreras de seguridad mas elevadas.

1. Cuidar aspectos primarios de seguridad desde primeras fases de desarrollo, tales como:

• Es parte de todo proyecto integrar conceptos seguridad de modo sistematizado
• Seguir criterios definidos, claros y cambio sistematizado de contraseñas
• Establecer reglas para especificar usuarios, permisos y correos que participaran en la administración de los recursos

2. Conciencia riesgo

• Integración de herramientas de monitoreo de proyecto

3. Actualizaciones

• Tener identificados los elementos y criterios con los que se decidirá implementar actualizaciones

4. Respaldo

• Determinar calendario y condiciones para hacer respaldos

5. Fortalecimiento de barreras, tales como

• Identificar, ejercer y fortalecer las barreras de protección para los recursos y proyectos
• Es necesario salir de el modelo de instalación típico para evitar la aplicación de patrones de funcionamiento

6. Aprender de las malas experiencias

• Es requerido analizar los incidentes y tomarlos como modelo de aprendizaje