Esta semana
el New York Times publicó una nota
en donde dice que fueron víctimas de un hackeo. Aquí unos comentarios y
lecciones a aprender de la poca
información que dice el artículo.
1.- Antivirus.
El artículo indica que “The Times — which uses antivirus products made by Symantec”. Bien por tener un antivirus, pero
actualmente en un corporativo no se puede depender únicamente de esta
herramienta.
El mismo Symantec lo dice.
¿Ya tienen listas blancas como las que puede ofrecer Bit9? ¿Ya tienen un área
que monitoree los eventos en la infraestructura de TI para detectar posibles
intrusiones? Cuando te traen ganas, un antivirus te servirá tanto como un
caballo para cruzar el Atlántico.
Hay que saber para lo que puede actualmente
servir y qué no es capaz de hacer.
2.-
Contraseñas robustas.
El reportaje dice: “they identified the domain controller that contains user names and
hashed, or scrambled, passwords”.
Lo que significa que entraron hasta la cocina, es decir, el
Directorio Activo y de ahí bajaron todos los passwords para crackearlos. Esto
nos dice que no sirve de nada cambiar el password cada XX meses, ya que al
estar comprometido y ser de interés del atacante, ya tendría un malware adentro
que da el control al hacker independientemente del password.
Eso de cambiar la
contraseña periódicamente va perdiendo validez hasta que sólo se dice porque se
ha estado diciendo desde hace décadas. Luego entonces es mejor tener
contraseñas robustas y complejas que no las vayan a hackear en 9 minutos.
Otra
lección es que el Directorio Activo sigue siendo la joya de la corona; puedes
dejar de lado otros sistemas por falta de recursos, pero no éste.
2.- Correos con phishing dirigido.
El NYT comenta cómo posiblemente se inició el ataque: “Investigators still do not know how hackers
initially broke into The Times’s systems. They suspect the hackers used a
so-called spear-phishing attack”.
Luego entonces, el usuario hace click en una liga, la cual lo dirige a un sitio malicioso que
explota una debilidad (Java, Flash) en su sistema y el resto es historia.
Yo podría
decir que se puede poner en marcha un programa de concientización, pero
honestamente, ya debemos de dejar de decir eso porque a menos que ese programa
tenga sanciones serias, será equivalente a decir misa en una iglesia católica
donde al rebaño le entra el mensaje por un oído y le sale por el otro (por
favor díganme dónde no sucede eso).
Entonces o ligas el programa de
concientización a sanciones, o mejor ponte a parchar tu software. Será algo más
efectivo pero que no lo haces porque te da hueva, o la problemática de parchado
te rebasó y te abruma. No trates de trasladar el problema al usuario y ponte a
trabajar.
No hay comentarios:
Publicar un comentario