• Tweet

Los hackers están usando una variedad de armas y explotando errores tales como contraseñas por defecto y listas de control de acceso (ACL) débiles o mal configuradas, según el último Verizon Business Data Breach Investigations Report.

La investigación del Data Breach Investigation Report de Abril de 2009 se centra en examinar los procedimientos de la compañia, analizando cómo las violaciones ocurren y cómo proteger datos sensibles.

"Los clientes que leyeron el 2009 Data Breach Investigation Report dijeron que querían saber cómo estos ataques tienen lugar, dar algunos ejemplos de nuestro número de casos y ver si éstas circunstancias les pueden ocurrir a ellos", dijo Wade Baker, la investigación de Verizon Business y el director de inteligencia.

Un rápido balance de los factores de ataque más comunes demuestra que los piratas informáticos utilizan una combinación de herramientas y técnicas para acabar en las redes de las empresas objetivo y robar millones de registros. El 2009 Data Breach Investigations Supplemental Report revela que una combinación de keyloggers y spyware, herramientas de puerta trasera, inyección de SQL y rastreadores de paquetes se utilizan normalmente en los ataques que produjeron las cosechas más ricas de datos.

"Si usted es un atacante, usted tiene que encontrar la manera de entrar en la red, encontrar datos críticos de los sistemas," dijo Baker. "Después explotar esos sistemas y sacar información. Todas estas medidas requieren un enfoque diferente y por eso usted ve estas cosas trabajando en complemento".

El informe desglosa cada uno de 15 tipos de amenazas, describiendo lo que hacen, cómo acceder, lo que el personal de seguridad debe buscar y cómo mitigar los riesgos. Cada entrada incluye un estudio de caso de una investigación de Verizon Business en la que el tipo de amenaza es un factor clave.

Tomemos, por ejemplo, el impacto del control de acceso deficiente en un banco de usuarios que llamaron a Verizon para investigar un robo de número de tarjeta y PIN a través de sus sistemas de ATM.

Los investigadores confirmaron la violación en la que los intrusos ganaron acceso a través de un ataque de inyección SQL en la página web del banco, pero eso fue sólo el comienzo. Después de la instalación de malware, los atacantes se encontraron con los módulos de seguridad de hardware ATM (HSM), que -¡sorpresa!- no tenían mecanismos de control de acceso. Como resultado, el HSM podría ser accedido desde cientos de sistemas en la red. Los atacantes trasladaron los datos fuera de la red a través de conexiones FTP durante meses antes de que se descubriera el incidente.

La falla en la detección de las brechas de seguridad pone en relieve una de las principales conclusiones del informe original - que el drenado de datos suele pasar desapercibido y son a menudo descubiertos por terceras partes que detectan, por ejemplo, la actividad fraudulenta con tarjetas de crédito. Cada tipo de amenaza tiene indicadores reveladores - los accesos no autorizados a través de ACL débiles o mal configuradas, por ejemplo, pueden ser descubiertos a través de la supervisión rutinaria de bitácoras o análisis de comportamiento de usuario, de acuerdo con Verizon. La conclusión es que las empresas no siempre están prestando atención.

"La mayoría de estas empresas tienen algunos medios de detección de eventos, tales como archivos de registro", dijo Baker. "La evidencia de que ha habido una brecha de seguridad pudo haber sido identificada.