ATAQUES POR CONFIGURACIÓN DEFECTUOSA, O CUANDO UN PEQUEÑO DESCUIDO TE SALE MUY CARO
Los misconfiguration attacks o ataques por configuración defectuosa normalmente ocurren cuando el administrador o desarrollador de un sistema o base de datos no configura correctamente el marco de seguridad de una aplicación, sitio web, escritorio o servidor.
Esto deja la puerta abierta para que los ciberdelincuentes puedan atacar.
Hasta a la NASA le pasó. Imaginate lo extendido que está este problema. (En un rato volvemos a esto).
¿Pero por qué una mala configuración te vuelve un objetivo fácil para los atacantes?
Porque estos errores son fáciles de detectar en algunos servidores web o nubes.
Para que te des una idea, si hacemos un escaneo de puertos de distintas marcas de cámaras, es notable la cantidad de cámaras que tienen la configuración de seguridad que viene por defecto (Por ejemplo usuario: admin, contraseña: admin). Este error tán básico permite que casi cualquiera con un conocimiento muy rudimentario de estas tecnologías pueda acceder a las imágenes de la vida privada de muchísimas personas.
En el caso de empresas medianas sin un equipo de TI especializado en ciberseguridad, este mismo error se repite constantemente.
Es muy común que en una implementación tradicional de firewall el gerente de TI descanse en la implementación que ofrece el proveedor, sin auditar lo que se hizo ahí. Y muchas veces, para simplificar, el proveedor dejó credenciales que vienen por defecto.
Es decir: dejó una ventana abierta para los atacantes.
Pero esto no es todo lo concerniente a configuración defectuosa de firewalls.
Muchas veces en los firewalls se suelen heredar configuraciones viejas. O sea, cuando se revisa la configuración no se cuestiona punto por punto el trabajo ya hecho. Sólo se agrega política sobre política, y en el proceso, se pasa por alto que quedó una política activada que podría permitir configuraciones defectuosas que habiliten comportamientos anómalos o no deseados.
Pongamos un ejemplo para que se entienda mejor.
Podría tratarse de un acceso a un servicio que quedó publicado y se volvió vulnerable, porque como no se usa más se dejó de actualizar. El problema acá es que el acceso del firewall todavía está vigente y eso genera una oportunidad de ataque para los delincuentes.
Pero lo prometido es deuda, así que vamos con dos anécdotas muy resonantes de configuración defectuosa.
INFORMACIÓN CONFIDENCIAL DE LA NASA EXPUESTA:
Hace unos años un investigador de seguridad descubrió una configuración defectuosa en la herramienta de colaboración JIRA.
Los paneles y filtros para los proyectos desarrollados en JIRA, venían con la configuración de visibilidad predeterminada en "Todos los usuarios" y "Todos", lo que hacía que la información quedara expuesta a cualquier persona en lugar de mantenerse dentro del perímetro de la organización.
Este diminuto error hizo que muchas empresas de Fortune 500 (y tambien ¡la NASA!) se volvieran vulnerables a la divulgación de datos personales y corporativos.
CITRIX Y LOS PROTOCOLOS INSEGUROS HEREDADOS:
Citrix Systems es una multinacional que ofrece tecnologías de virtualización de servidores, conexión en red, software-como-servicio e informática en la nube.
La solución fue el objetivo de numerosos hackers, que aprovecharon los protocolos poco seguros heredados para ataques de difusión de contraseñas basados en IMAP.
¿Por qué? Porque el uso de protocolos heredados, incluidos IMAP y POP, dificulta que los administradores establezcan y activen la MFA (autorización multifactorial) lo que los vuelve un punto de acceso ideal para los ataques por diccionario.
Entonces, ¿qué lecciones podemos aprender de estos incidentes?
Existen algunos errores muy extendidos en materia de configuración y para evitarlos debemos estar muy atentos a siempre:
-Eliminar o deshabilitar funciones innecesarias.
-No utilizar cuentas y contraseñas predeterminadas.
-No proporcionar demasiada información en los mensajes de error.
-No usar versiones de software antiguas o que dejaron de actualizarse.
-Configurar a conciencia las actualizaciones.
-Configurar cuidadosamente los sistemas en la nube.
-Y cómo siempre, pedir ayuda a especialistas si nuestra organización no está correctamente preparada para enfrentar las cada vez más complejas amenazas en materia de ciberseguridad.