11 de Diciembre, 2014
□
General |
Cronología de la intrusión a Target |
Hace ya casi un año que os hablamos de por aquí de uno de los hacks más
importantes de la década, sobretodo por la cantidad de usuarios/clientes
afectados (más de 70 millones): el compromiso de la cadena americana de tiendas Target.
|
En Diciembre de 2013 (hace casi un año) nos hicimos eco del hack a Target |
En Ars Technica publican las alegaciones por las cuales los bancos pueden proceder a denunciar a la compañía debido a sus negligencias. Uno de los graves problemas a los que se enfrenta Target es el haber hecho caso omiso de las advertencias por parte de terceros en referencia a multitud de problemas de seguridad.
En este enlace en
PDF, desde la página 58 a la 66 podremos leer una especie de cronología
de eventos desde las primeras detecciones y evidencias sobre las que
Target ignoró los graves problemas de seguridad que estaban sufriendo
"en directo". Las mencionamos y resumimos a continuación:
- La compañía FireEye, famosa por sus
soluciones de seguridad anti-APT, es contratada por Target a principios
de 2013 para la protección de su infraestructura y detección de malware.
En Junio de 2013, FireEye comienza el despliegue masivo de sus soluciones sobre la infraestructura de Target tras diversas pruebas.
- Junio 2013-Agosto 2013 - Los
atacantes comienzan la fase de reconocimiento para la búsqueda de puntos
débiles a aprovechar para comprometer externamente la infraestructura
de Target.
- Mediante la búsqueda de información
pública sobre Target y sus proveedores, se topan con la compañía Fazio,
proveedor de sistemas de aire acondicionado y refrigeración para Target.
Fazio dispone de acceso restringido a la red para determinados servicios de Target (facturación electrónica, gestión de proyectos y envío de contratos)
- Septiembre 2013: Mediante el
malware Citadel enviado por correo electrónico, los atacantes
consiguieron las credenciales utilizadas por Fazio para el acceso a la
red de Target. Fazio utilizaba el MalwareBytes Anti-Malware gratuito
como solución antivirus. Insuficiente...
- Durante Septiembre de 2013,
empleados de seguridad de Target comienzan a reconocer posibles
problemas de seguridad en el sistema de pagos de Target gracias al
software desplegado por FireEye. Este hecho no trasciende, no se
solicita más investigación sobre el tema.
- A finales de Septiembre de 2013, Target
encargó una auditoría para demostrar que sus sistemas estaban
certificados por los estándares de la industria, como PCI-DSS.
- A mediados de Noviembre de 2013,
comienza la intrusión sobre Target. Los atacantes acceden a la red
mediante las credenciales robadas previamente y pertenecientes a Fazio.
Si bien en primera instancia únicamente se disponía de acceso
restringido a servicios, la red no estaba segmentada de manera segura.
- Los atacantes comienzan a desplegar el malware para puntos de venta en un conjunto acotado para realizar pruebas de su funcionamiento, con éxito.
- A finales de Noviembre de 2013,
los atacantes instalan el malware en un mayor número de puntos de venta
(registradoras). En este momento los atacantes ya comienzan a recibir
información sensible de tarjetas de crédito en tiempo real sobre
clientes que utilizan los dispositivos comprometidos. En ese momento,
también comienzan a instalar malware encargado de realizar la fuga de
datos desde los sistemas de Target a los sistemas pertenecientes a los
atacantes dentro de la red
- El software de FireEye detecta este nuevo malware utilizado por la exfiltración, pero el equipo de seguridad de Target no realiza ninguna acción al respecto.
Además, Target disponía de software de Symantec (Endpoint Protection)
que también comenzó a detectar este malware, pero Target seguía sin
reaccionar. La fuga de información continuaba sin interrupciones.
- El 2 de Diciembre de 2013 FireEye vuelve a reportar de nuevo lo ocurrido a finales de Noviembre, pero Target sigue sin llevar a cabo acción alguna.
- A mediados de Diciembre de 2013,
la información comienza a pasar desde los servidores comprometidos
dentro de la red de Target a servidores externos pertenecientes a los
atacantes (Centros de Control). Esta fuga se realizó durante dos semanas seguidas sin problemas.
- El 11 de Diciembre de 2013
alguien de Target analiza una muestra del malware mediante VirusTotal. A
pesar de creer que pudiese ser malicioso, la fuga de información
continua.
- A partir de ese instante, la
información robada se va proporcionando a diferentes portales del
mercado negro, y los bancos comienzan a recibir incidencias de sus
usuarios debido a que sus datos podrían haber sido comprometidos.
- El 15 de Diciembre de 2013, Target comienza a purgar sus sistemas, y el incidente aparece en los medios tradicionales.
Información pública sobre proveedores, requisitos de seguridad
inexistentes para la conexión por parte de terceros a la infraestructura
de Target, avisos de seguridad ignorados en multitud de ocasiones,
problemas de autorización en cuentas de acceso para proveedores,
credenciales con usuario y contraseña y ausencia de segundo factor para
autenticación, segmentación insegura... un cúmulo de despropósitos que unidos al " pasotismo"
aún habiendo realizado la adquisición y asociación de productos de
seguridad en un período tan cercano, han llevado al desastre a Target y a
sus clientes. Autor:
José A. Guasch
|
|
publicado por
alonsoclaudio a las 15:49 · Sin comentarios
· Recomendar |
|
|
CALENDARIO |
|
Marzo 2024 |
|
|
DO | LU | MA | MI | JU | VI | SA | | | | | | 1 | 2 | 3 | 4 | 5 | 6 | 7 | 8 | 9 | 10 | 11 | 12 | 13 | 14 | 15 | 16 | 17 | 18 | 19 | 20 | 21 | 22 | 23 | 24 | 25 | 26 | 27 | 28 | 29 | 30 | 31 |
|
|
| |
AL MARGEN |
Escuela de Educacion Secundaria Tecnica N 8 de Quilmes |
(Técnicos en Informática Personal y Profesional) |
| |
|