Blog gratis
Reportar
Editar
¡Crea tu blog!
Compartir
¡Sorpréndeme!
Blog de la Escuela de Educación Secundaria Técnica N 8 de Quilmes
Administrador Prof. Claudio Enrique Alonso Alvite
img
11 de Diciembre, 2014    General

Cronología de la intrusión a Target

Hace ya casi un año que os hablamos de por aquí de uno de los hacks más importantes de la década, sobretodo por la cantidad de usuarios/clientes afectados (más de 70 millones): el compromiso de la cadena americana de tiendas Target.

En Diciembre de 2013 (hace casi un año) nos hicimos eco del hack a Target

En Ars Technica publican las alegaciones por las cuales los bancos pueden proceder a denunciar a la compañía debido a sus negligencias. Uno de los graves problemas a los que se enfrenta Target es el haber hecho caso omiso de las advertencias por parte de terceros en referencia a multitud de problemas de seguridad.


En este enlace en PDF, desde la página 58 a la 66 podremos leer una especie de cronología de eventos desde las primeras detecciones y evidencias sobre las que Target ignoró los graves problemas de seguridad que estaban sufriendo "en directo". Las mencionamos y resumimos a continuación:

  1. La compañía FireEye, famosa por sus soluciones de seguridad anti-APT, es contratada por Target a principios de 2013 para la protección de su infraestructura y detección de malware. En Junio de 2013, FireEye comienza el despliegue masivo de sus soluciones sobre la infraestructura de Target tras diversas pruebas.
  2. Junio 2013-Agosto 2013 - Los atacantes comienzan la fase de reconocimiento para la búsqueda de puntos débiles a aprovechar para comprometer externamente la infraestructura de Target.
  3. Mediante la búsqueda de información pública sobre Target y sus proveedores, se topan con la compañía Fazio, proveedor de sistemas de aire acondicionado y refrigeración para Target. Fazio dispone de acceso restringido a la red para determinados servicios de Target (facturación electrónica, gestión de proyectos y envío de contratos)
  4. Septiembre 2013: Mediante el malware Citadel enviado por correo electrónico, los atacantes consiguieron las credenciales utilizadas por Fazio para el acceso a la red de Target. Fazio utilizaba el MalwareBytes Anti-Malware gratuito como solución antivirus. Insuficiente...
  5. Durante Septiembre de 2013, empleados de seguridad de Target comienzan a reconocer posibles problemas de seguridad en el sistema de pagos de Target gracias al software desplegado por FireEye. Este hecho no trasciende, no se solicita más investigación sobre el tema.
  6. A finales de Septiembre de 2013, Target encargó una auditoría para demostrar que sus sistemas estaban certificados por los estándares de la industria, como PCI-DSS. 
  7. A mediados de Noviembre de 2013, comienza la intrusión sobre Target. Los atacantes acceden a la red mediante las credenciales robadas previamente y pertenecientes a Fazio. Si bien en primera instancia únicamente se disponía de acceso restringido a servicios, la red no estaba segmentada de manera segura.
  8. Los atacantes comienzan a desplegar el malware para puntos de venta en un conjunto acotado para realizar pruebas de su funcionamiento, con éxito.
  9. A finales de Noviembre de 2013, los atacantes instalan el malware en un mayor número de puntos de venta (registradoras). En este momento los atacantes ya comienzan a recibir información sensible de tarjetas de crédito en tiempo real sobre clientes que utilizan los dispositivos comprometidos. En ese momento, también comienzan a instalar malware encargado de realizar la fuga de datos desde los sistemas de Target a los sistemas pertenecientes a los atacantes dentro de la red
  10. El software de FireEye detecta este nuevo malware utilizado por la exfiltración, pero el equipo de seguridad de Target no realiza ninguna acción al respecto. Además, Target disponía de software de Symantec (Endpoint Protection) que también comenzó a detectar este malware, pero Target seguía sin reaccionar. La fuga de información continuaba sin interrupciones.
  11. El 2 de Diciembre de 2013 FireEye vuelve a reportar de nuevo lo ocurrido a finales de Noviembre, pero Target sigue sin llevar a cabo acción alguna.
  12. A mediados de Diciembre de 2013, la información comienza a pasar desde los servidores comprometidos dentro de la red de Target a servidores externos pertenecientes a los atacantes (Centros de Control). Esta fuga se realizó durante dos semanas seguidas sin problemas.
  13. El 11 de Diciembre de 2013 alguien de Target analiza una muestra del malware mediante VirusTotal. A pesar de creer que pudiese ser malicioso, la fuga de información continua.
  14. A partir de ese instante, la información robada se va proporcionando a diferentes portales del mercado negro, y los bancos comienzan a recibir incidencias de sus usuarios debido a que sus datos podrían haber sido comprometidos.
  15. El 15 de Diciembre de 2013, Target comienza a purgar sus sistemas, y el incidente aparece en los medios tradicionales.
Información pública sobre proveedores, requisitos de seguridad inexistentes para la conexión por parte de terceros a la infraestructura de Target, avisos de seguridad ignorados en multitud de ocasiones, problemas de autorización en cuentas de acceso para proveedores, credenciales con usuario y contraseña y ausencia de segundo factor para autenticación, segmentación insegura... un cúmulo de despropósitos que unidos al "pasotismo" aún habiendo realizado la adquisición y asociación de productos de seguridad en un período tan cercano, han llevado al desastre a Target y a sus clientes.

Autor: José A. Guasch
Palabras claves , , , , , ,
publicado por alonsoclaudio a las 15:49 · Sin comentarios  ·  Recomendar
 
Más sobre este tema ·  Participar
Comentarios (0) ·  Enviar comentario
Enviar comentario

Nombre:

E-Mail (no será publicado):

Sitio Web (opcional):

Recordar mis datos.
Escriba el código que visualiza en la imagen Escriba el código [Regenerar]:
Formato de texto permitido: <b>Negrita</b>, <i>Cursiva</i>, <u>Subrayado</u>,
<li>· Lista</li>
CALENDARIO
Ver mes anterior Marzo 2024 Ver mes siguiente
DOLUMAMIJUVISA
12
3456789
10111213141516
17181920212223
24252627282930
31
BUSCADOR
Blog   Web
TÓPICOS
» General (2606)
NUBE DE TAGS  [?]
SECCIONES
» Inicio
ENLACES
MÁS LEÍDOS
» Analizando el LiveBox 2.1 de Orange
» Cómo espiar WhatsApp
» Cómo usar Metashield protector for Client y por qué utilizarlo
» Detectando tráfico de conexiones HTTP inversas de Meterpreter (Snort)
» Ejecución remota de código arbitrario en OpenSSH
» Ganar dinero con 1.200 Millones de identidades robadas
» Hardware y sus 4 Funcionamientos Basicos y Principales en una Computadora
» Redes de la Deep Web: CJDNS y la Red Hyperboria
» Unidad Central de Procesamiento CPU
» Wassap, la aplicación que permite usar WhatsApp desde la PC
SE COMENTA...
» Cómo espiar WhatsApp
595 Comentarios: Scott, Scott, Jarlinson mercy, [...] ...
» Qué hacer ante el robo de un teléfono móvil o una tableta
2 Comentarios: best buy security cameras swann, best buy security cameras swann
» Espiando usuarios gracias a la vulnerabilidad en cámaras TRENDnet
1 Comentario: Coin
» Recopilatorio de aplicaciones y sistemas vulnerables para practicar
2 Comentarios: vera rodrigez ...
» SoftPerfect WiFi Guard permite saber quién esta conectado a mi WiFi
2 Comentarios: firdous ...
SOBRE MÍ
FOTO

Prof. Claudio Enrique Alonso Alvite



» Ver perfil

AL MARGEN
Escuela de Educacion Secundaria Tecnica N 8 de Quilmes
(Técnicos en Informática Personal y Profesional)
FULLServices Network | Blogger | Privacidad