25 noviembre 2011

Hackeos memorables: The IT Crowd



No, no es que hoy queramos hablar de un hackeo memorable protagonizado por los entrañables Moss y Roy, actores de la serie inglesa The IT Crowd, sino por los protagonizados por personajes de la vida real que, habiendo sido despedidos de malas formas, se han tomado la justicia por su mano y han ejecutado su peculiar Vendeeeetta!

Vía correo del CEO de la empresa para la que trabajo, os cuento cinco casos bastante curiosos, en los que un "IT guy" ha generado más de un hackeo memorable. Por cierto que el subject del correo del CEO era: "You guys are all doing a FABULOUS job and I love you all!" (Chicos, ¡estáis haciendo todos un trabajo FABULOSO y os quiero a todos!),… vamos, por si acaso :) 


"/etc/init.d/".$_ stop foreach (@coches);
Sea una concesionario de coches de alquiler. Dichos vehículos están provistos por la empresa de un sistema que permite selectivamente apagar el motor de los coches si los compradores/o personas que los alquilan, no pagan a fin de mes las cuotas correspondientes. Un empleado de TI despedido decide que como medida de protesta, accede a los sistemas se la empresa (del cuál se sabe la contraseña) que permiten habilitar el mecanismo de corte de corriente de arranque de todos los coches de la flota.

Lógicamente, y para evitar accidentes, el sistema no funciona si el coche está en movimiento, imagina que estás adelantando en una carretera de doble sentido y te apagan el motor. Así pues, en la primera parada que los conductores hicieron, no fueron capaces de volver a arrancar los vehículos. A la empresa le llovieron montones de quejas de usuarios que pagaban sus cuotas religiosamente y su vehículo había quedado inutilizado durante varios días. Para haceros la historia corta, traceando la IP origen, la policía logró identificar al individuo y procesarle.


Amenizando una presentación importante,… con porno!
Básicamente, un tipo despedido de una compañía, se las ingenia para instalar algún tipo de herramienta que captura credenciales en diversos PCs, entre ellas las de su jefe (el brazo ejecutor de su despido). Desconozco si fue un keylogger, o alguna herramienta de análisis de tráfico de red con capacidades Man in the Middle del tipo de Ettercap o Cain & Abel.

Durante un mes, el atacante se conectó más de 100 veces a la red de la empresa, y se dedicó a "liarla parda" sembrando cizaña y confusión, reenviando correos con la cuenta de otro empleado o su jefe. Como tenía acceso al correo de su jefe, se enteró que éste iba a llevar a cabo una importante presentación, junto el Consejo Directivo de la compañía, ante importantes personalidades de la ciudad. En medio de la presentación, el atacante se conectó remotamente, cambió una de las transparencias de la presentación original por una con contenido pornográfico.

Desconozco si el protagonista del ataque seguía en Twitter a @artepresentar, pero la idea debió amenizar bastante el "aburrido powerpoint"… y de paso sacar unos cuantos colores al "ex-jefe", aunque fue identificado y multado por ello.


El Silencio de las Contraseñas
Otro individuo que conocía las contraseñas de acceso a cualquier red de las redes municipales de la Ciudad de San Francisco. Básicamente, conocía dichas contraseñas, puesto que él había diseñado desde el principio dichas redes. Este tipo se entera que va a ser despedido proximamente. Por ello, decide que como él diseñó y creó dichas redes, le pertenecen. Después, modifica los permisos de acceso de otros usuarios a las mismas, quedando sólo su usuario con permisos de administrador.

Sus jefes se dan cuenta de ello y le exigen las contraseñas necesarias para poder crear más administradores y volver a tener el control de acceso a la red. El tipo se niega a decirlas. por lo que es arrestado y aislado en una celda de una comisaría. Después de 12 días de arresto, decide que revelará la contraseña de administrador, siempre y cuando sea el propio Alcalde de la ciudad quien vaya a hablar con él y se la pida. Finalmente, el Alcalde accedió a entrevistarse en la celda del ex-empleado para conocer la contraseña maestra.



Nuevo McMenu; ahora con WIFI (y celda) gratis
Otra compañía que despide a un individuo vengativo de malas maneras. El individuo decide atacar a su ex-compañía, intentando acceder mediante ataques de fuerza bruta o diccionario, a través de sistemas de conexión remota a las redes de la misma.

Le cuesta tiempo y esfuerzo, pero finalmente logra acceder con un usuario válido. El tipo conoce perfectamente la infraestructura de la compañía y decide borrar del mapa 15 virtual hosts con información crítica de la compañía. Para realizar la fechoría utiliza una red wireless gratuita ofrecida por un McDonalds. De esta manera, el individuo pensó que sus acciones permanecerían en el mayor de los anonimatos. Quizá habría sido más fácil si hubiera pagado su McMenú con dinero en efectivo en vez de con su tarjeta de crédito, 5 minutos antes de llevar a cabo el ataque. Otro caso documentado de accesos ilícitos a sistemas remotos mediante pares usuario/contraseña, es el de un ex-empleado que no cobró su última nómina. Decidió acceder remotamente a la red de su ex-compañía y cepillarse la base de datos de nóminas,.. "Si yo no cobro, los demás tampoco!". Éste no se tomó tantas molestias y decidió hacer el ataque desde su propia casa…. Ambos fueron juzgados y condenados.

#./dominar_el_mundo.pl
Un empleado con solera, de los que llegó a ser la estrella de la compañía en su día, años atrás, harto de su actual situación en la que la sangre nueva lo ha ido apartando, piensa que próximamente va a ser despedido y decide planificar una venganza "le-gen-daria".

Durante el suficiente tiempo, el fulano en cuestión se va llevando a casa TODOS los backups realizados en cinta, y metódicamente va eliminando su contenido. Según se van haciendo backups nuevos, él los borra y vuelve a dejar las cintas en su sitio. Así, espera a que el momento del despido llegue… y éste, no tarda en llegar. Cuando esto pasa, antes de irse deja una bomba lógica (en 6 líneas) lista para activarse en determinada fecha y.... Fin de la historia. Efectivamente, se cepilló toda la información de valor de la compañía, y no hay backup. Por lo visto, fue el fin de aquella compañía... y bueno, también el del protagonista vengador de esta historia que se pegó tres años a la sombra y se le exigió el pago de una multa de - atención - "2 millones de dólares".

Conclusiones:
  • Empleados de IT despedidos: La IP origen os delata, ojo a TOR o herramientas como Proxyfire. Los pagos con tarjeta, las posiciones GPS, la actividad de un móvil, todo es traceable…. Y aún así, no podréis estar seguros de que todo ha sido tenido en cuenta. No quiero incitar a nadie a cometer actos delictivos. La mejor forma de dormir tranquilo es tener siempre presente que "quien nada hace, nada teme".
  • Empresas: Cuando se despide un empleado, se toman medidas para evitar accesos remotos desde su usuario: 
    • Se bloquean las cuentas de usuarios inexistentes, se aconseja modificar las contraseñas a otros usuarios con acceso remoto (por si alguna vez el despedido tuvo conocimiento de la contraseña de un compañer@) y se advierte al resto del personal que esa persona ya no trabaja en la compañía, para evitar que sean víctimas de un ataque de ingeniería social. La utilización de tecnologías de autenticación fuerte, también son útiles para evitar estos problemas.
    • Por supuesto, es una muy mala práctica la utilización de contraseñas de uso compartido. Una de las mejores costumbres es aplicar convenientemente la granularidad de permisos y, aplicar la Ley de Mínimo Privilegio y del Necesidad de Conocimiento
    • Suele ser útil que los logs generados por ataques de fuerza bruta ante servicios críticos o de autenticación remota,  levanten algún tipo de alerta que alguien pueda comprobar. 
    • Las estrategias de Recuperación ante Desastres y los Planes de Continuidad de Negocio recomiendan que los backups, además de existir y hacerse de forma periódica suficiente, se almacenen en una localización apartada del site principal.
  • Empleador: Cuidado con cómo despides a tus chicos de IT, que al final, como dice el dicho: "Más vale un mal arreglo que un buen pleito"

3 comments :

V.M dijo...

Cuanto afán vengador. Supongo que hay gente que cuando le dicen "You are fired!" Piensa en otras muchas cosas que no son venganzas.

Pirri dijo...

Relacionado http://www.sevillasecandbeer.org/archives/1729

Bicho dijo...

El señor del silencio de las contraseñas ademas, borró todas las "startups-configs" de los ciscos, quedandose solo  con las "running-configs", evitando la posibilidad del recovery con el confreg 0x2142.. si reinicias el router se pierde  la confi :)