viernes, 1 de febrero de 2013

Lecciones del espionaje al NYT


Esta semana el New York Times publicó una nota en donde dice que fueron víctimas de un hackeo. Aquí unos comentarios y lecciones a aprender de la poca información que dice el artículo.

1.- Antivirus.
El artículo indica que “The Times — which uses antivirus products made by Symantec”. Bien por tener un antivirus, pero actualmente en un corporativo no se puede depender únicamente de esta herramienta. 

El mismo Symantec lo dice. ¿Ya tienen listas blancas como las que puede ofrecer Bit9? ¿Ya tienen un área que monitoree los eventos en la infraestructura de TI para detectar posibles intrusiones? Cuando te traen ganas, un antivirus te servirá tanto como un caballo para cruzar el Atlántico. 

Hay que saber para lo que puede actualmente servir y qué no es capaz de hacer.

2.- Contraseñas robustas.
El reportaje dice: “they identified the domain controller that contains user names and hashed, or scrambled, passwords”.  

Lo que significa que entraron hasta la cocina, es decir, el Directorio Activo y de ahí bajaron todos los passwords para crackearlos. Esto nos dice que no sirve de nada cambiar el password cada XX meses, ya que al estar comprometido y ser de interés del atacante, ya tendría un malware adentro que da el control al hacker independientemente del password. 

Eso de cambiar la contraseña periódicamente va perdiendo validez hasta que sólo se dice porque se ha estado diciendo desde hace décadas. Luego entonces es mejor tener contraseñas robustas y complejas que no las vayan a hackear en 9 minutos. 

Otra lección es que el Directorio Activo sigue siendo la joya de la corona; puedes dejar de lado otros sistemas por falta de recursos, pero no éste. 

2.- Correos con phishing dirigido.
El NYT comenta cómo posiblemente se inició el ataque: “Investigators still do not know how hackers initially broke into The Times’s systems. They suspect the hackers used a so-called spear-phishing attack”.  

Luego entonces, el usuario hace click en una liga, la cual lo dirige a un sitio malicioso que explota una debilidad (Java, Flash) en su sistema y el resto es historia. 

Yo podría decir que se puede poner en marcha un programa de concientización, pero honestamente, ya debemos de dejar de decir eso porque a menos que ese programa tenga sanciones serias, será equivalente a decir misa en una iglesia católica donde al rebaño le entra el mensaje por un oído y le sale por el otro (por favor díganme dónde no sucede eso). 

Entonces o ligas el programa de concientización a sanciones, o mejor ponte a parchar tu software. Será algo más efectivo pero que no lo haces porque te da hueva, o la problemática de parchado te rebasó y te abruma. No trates de trasladar el problema al usuario y ponte a trabajar.