Blog gratis
Reportar
Editar
¡Crea tu blog!
Compartir
¡Sorpréndeme!
Blog de la Escuela de Educación Secundaria Técnica N 8 de Quilmes
Administrador Prof. Claudio Enrique Alonso Alvite
img
20 de Diciembre, 2013    General

Hacks RDP: Frustrando La Red De Los Chicos Malos



Brian Krebs de “Krebs en Seguridad” acaba de publicar un artículo sobre los hacks de tipo RDP (Protocolo de Escritorio Remoto, por sus siglas en inglés) mismo que explota credenciales de acceso débiles o por defecto, para luego pasar a describir cómo eso provee los básicos para un negocio de cibercrimen. Su artículo explica que Makost[dot]net renta acceso a más de 6000 RDP que están configurados de manera muy rudimentaria y, por lo tanto, compromete a los servidores con capacidad RDP alrededor del mundo. Como Kreb dice: “… los atacantes simplemente necesitan escanear la internet por hosts que estén escuchando el puerto 3389 (RDP de Microsoft), identificar nombres de usuarios válidos y luego tratar de usar el mismo usuario como contraseña”. Es un ataque clásico de fuerza bruta y está orientado directamente a un objetivo extremadamente débil.

Para que quede claro, RDP (por sus siglas en inglés) es un protocolo propietario de Microsoft que provee una interfaz gráfica para conectar una computadora con un sistema operativo Windows (servidor) a cualquier otra (cliente) mediante una red, permitiendo que el servidor sea utilizado de manera remota desde el cliente.

Muchas personas al momento de leer esto por primera vez pensarían que esta capacidad es más una “vulnerabilidad” de Windows, pero eso es como decir que una máquina de transacciones automáticas (ATM, por sus siglas en inglés) tiene una “vulnerabilidad” que te deja retirar dinero de tu cuenta bancaria. Es una característica del sistema operativo y Windows no está sola cuando expone funcionalidades como esta.

Una amenaza libre de malware y exploit             
 
La parte interesante de este fenómeno RDP es que es una amenaza netamente basada en acceso: no hay malware, no hay exploit involucrados. En su núcleo, esta operación ciber criminal está basada en una lista de cuentas comprometidas de máquinas específicas de redes específicas. No hay sistema de detección de malware que podría detectar estas amenazas, puesto que usan credenciales de inicio de sesión válidas.

Éste es el ejemplo perfecto de lo que me refiero cuando digo que los chicos malos están trabajando productivamente y los chicos buenos no lo hacen todavía. Makost[dot]net es sólo una de muchas corredurías del mercado negro que vende accesos a estos exploits a cualquiera que tenga dinero. Cualquier atacante puede empezar desde cero, pasar una tarjeta de crédito e inmediatamente pinchar un agujero a través de su perímetro.

Como un punto aparte, un buen lugar para que los chicos buenos comiencen a trabajar en equipo sería en la creación de un sistema para notificar a los dueños de éstos sistemas que los mismos han sido comprometidos, porque mientras sigan sin saberlo, los atacantes tienen una ventana abierta a sus redes. Los atacantes, de esta manera, podrán usar estas máquinas como trampolines para atacar a otras organizaciones.

Lo que los sistemas de seguridad nunca consiguen identificar, los basados en anomalías lo hacen

Si su organización usa regularmente RDP para cualquier uso legítimo, será casi imposible identificar cuales accesos son válidos y cuáles son ataques porque todos usan las mismas credenciales válidas, a menos que creen y actualicen regularmente los lineamientos base de comportamiento normal para aquellos dispositivos con capacidad RDP. No hay nada que una herramienta de seguridad pueda detectar en este escenario excepto desviaciones de los lineamientos base.

Esta amenaza es particularmente peligrosa en un mundo en el que las máquinas virtuales (MVs) son incrementadas comúnmente, con frecuencia clonadas una de otra en masa. Casi todas las MVs permiten acceso remoto al escritorio y los usuarios que los están creando asumen, incorrectamente, que estarán corriendo en ambientes “seguros”.

Krebs sugiere hacer un escaneo de puerto externo rápido de los rangos de la dirección de internet de su organización para averiguar si cualquier sistema equipado con RDP está habilitado, luego señala esto a la Universidad de California en un documento de Berkeley para tips adicionales de bloqueo de instalaciones RDP. Este es un buen comienzo, pero yo le agregaría que necesita la habilidad, hoy en día, para realizar estas tres cosas:

#1 – Establecer visibilidad de sus dispositivos.     
 
#2 – Comenzar a correr líneas bases de comportamiento normal dentro y entre estos dispositivos.          
 
#3 – Desarrollar una forma para comenzar a recibir alertas regulares de comportamiento anómalo relativo a esas líneas base.

EnCase® Analytics puede ayudar con las tres. Por en cuanto, sitios como Makost sólo ilustran cuán importante es para los chicos buenos el comenzar a trabajar juntos de manera tan productiva como los chicos malos lo han estado haciendo.

¿Tiene sugerencias? ¿Historias de guerra? Agradezco sus comentarios en la sección de comentarios más abajo.

Jason Fredrickson, Senior Director - Enterprise Application Development
Traducido del original en ingles, RDP Hacks: Thwarting the Bad-Guy Network
Palabras claves , , , , , ,
publicado por alonsoclaudio a las 10:05 · Sin comentarios  ·  Recomendar
 
Más sobre este tema ·  Participar
Comentarios (0) ·  Enviar comentario
Enviar comentario

Nombre:

E-Mail (no será publicado):

Sitio Web (opcional):

Recordar mis datos.
Escriba el código que visualiza en la imagen Escriba el código [Regenerar]:
Formato de texto permitido: <b>Negrita</b>, <i>Cursiva</i>, <u>Subrayado</u>,
<li>· Lista</li>
CALENDARIO
Ver mes anterior Junio 2019 Ver mes siguiente
DOLUMAMIJUVISA
1
2345678
9101112131415
16171819202122
23242526272829
30
BUSCADOR
Blog   Web
TÓPICOS
» General (2606)
NUBE DE TAGS  [?]
SECCIONES
» Inicio
ENLACES
MÁS LEÍDOS
» Analizando el LiveBox 2.1 de Orange
» Cómo espiar WhatsApp
» Cómo usar Metashield protector for Client y por qué utilizarlo
» Ejecución remota de código arbitrario en OpenSSH
» Ganar dinero con 1.200 Millones de identidades robadas
» Hardware y sus 4 Funcionamientos Basicos y Principales en una Computadora
» Redes de la Deep Web: CJDNS y la Red Hyperboria
» Unidad Central de Procesamiento CPU
» Vulnerabilidad en Youtube permitió borrar cualquier video
» Wassap, la aplicación que permite usar WhatsApp desde la PC
SE COMENTA...
» Cómo espiar WhatsApp
377 Comentarios: FRANK FAITH, FRANK FAITH, DILIGETWEB HACKERS, [...] ...
» Unidad Central de Procesamiento CPU
2 Comentarios: Alex ...
» Wassap, la aplicación que permite usar WhatsApp desde la PC
3 Comentarios: alex ...
» Hardware y sus 4 Funcionamientos Basicos y Principales en una Computadora
2 Comentarios: lpm } alv, zopotamadre
SOBRE MÍ
FOTO

Prof. Claudio Enrique Alonso Alvite



» Ver perfil

AL MARGEN
Escuela de Educacion Secundaria Tecnica N 8 de Quilmes
(Técnicos en Informática Personal y Profesional)
FULLServices Network | Blogger | Privacidad