Resultados 1 al 3 de 3

ARSYS sancionada por el ataque que sufrió en 2007

  1. #1 ARSYS sancionada por el ataque que sufrió en 2007 
    Co-Admin HackHispano.com Avatar de clarinetista
    Fecha de ingreso
    Jan 2004
    Ubicación
    HackHispano/SM
    Mensajes
    7.773
    Descargas
    31
    Uploads
    8
    El ataque hacker que comprometió los datos de casi 8000 clientes de Arsys se ha saldado con una multa de 6000 euros a esta entidad, por entender que no cumplía con todas las medidas de seguridad. La Resolución detalla el procedimiento seguido por el atacante (SQL injection) y se pone de manifiesto que en el momento del ataque Arsys tenía un total 20 vulnerabilidades graves que permitían acceder a los datos de los clientes, como la existencia de contraseñas de administradores en el código fuente de algunas aplicaciones.

    El 11 de junio de 2007 apareció en diversos medios de comunicación que “unos hackers atacan una empresa de Internet y obtienen claves personales y bancarias de clientes“; en la noticia no se mencionaba la empresa, pero hecha pública la Resolución sancionadora recientemente, descubrimos que se trataba de Arsys, aunque es algo que ya se sabía en el mundillo.
    La Resolución describe todo el procedimiento seguido por el atacante para vulnerar los sistemas de Arsys, y que para no extenderme resumo de la siguiente manera:

    1. El día 15 de febrero de 2007 el atacante se da de alta como cliente de Arsys, proporcionando un NIF y número de cuenta bancaria españoles válidos.
    2. El día 16 de febrero de 2007 un atacante accede al área de clientes.
    3. Después de recorrer e interactuar con varias aplicaciones descubre una vulnerabilidad SQL injection en el parámetro de la url de la aplicación servicios.asp.
    4. El día 17 de febrero de 2007 se reciben 2.136 peticiones a la aplicación servicios.asp que, mediante la vulnerabilidad SQL injection y aprovechando la capacidad de paginación de la aplicación listan los campos CDA_L0G1N y CDA_PASSWORD.Esto es, “se realizó un ataque de inyección SQL, mediante el cual el atacante pudo averiguar las claves de acceso de los usuarios a los servicios FTP”.
    5. Pudo averiguar las claves porque éstas se almacenaban en texto plano en la base de datos.
    6. Entre los días 13 y 1 de abril de 2007 (antes de terminar el recorrido por el panel de control) se realiza un ensayo contra los servidores FTP para discernir cuales de las contraseñas capturadas son válidas.
    7. Cuando se produce el ataque entre los días 21 y 22 de abril, el atacante no falla ninguna de las contraseñas que intenta.
    8. Durante del fin de semana del 21 y 22 de abril usuarios no identificados comprometieron la seguridad de unos 8.000 dominios, utilizando FTP para acceder con las credenciales de usuario y modificar las páginas HTML principales de los dominios.

      La modificación realizada en las páginas añade un iframe a un sitio web malicioso, con el objetivo de instalar un troyano en la máquina del cliente que visite el dominio comprometido.

    Los dominios infectados fueron 8.264 y el número de clientes afectados fueron 6.686, puesto que muchos de los clientes eran titulares de más de un dominio.
    Sin embargo no se puede decir que Arsys no se preocupara por la seguridad de los datos de sus clientes: estaba inmersa en la implantación de la ISO 27001 y de hecho aportó en el procedimiento algunos documentos extraídos del SGSI como por ejemplo:

    • Uso del Cifrado, fechado el 1/7/2006.
    • Control de accesos, fechado el 11/10/2006.
    • Gestión de Crisis, fechado el 1/7/2006.

    Todo ello además de tener un Documento de Seguridad actualizado según exigencias de la propia LOPD.
    En otras palabras, Arsys hizo todo lo humanamente posible para mantener seguros sus sistemas, pero debemos ser conscientes que la seguridad perfecta no existe.
    De hecho, a raiz del incidente, se contrató a una empresa especializada en seguridad informática que arrojó los siguientes resultados:


    Existencia de 25 vulnerabilidades graves, que permiten el acceso a información confidencial. Se realiza en el informe una clasificación de las 46 vulnerabilidades halladas. Los tres tipos más importantes son:

    • Inyección de SQL, encontrándose 20 vulnerabilidades. Este tipo de vulnerabilidades ponen en peligro la información alojada en las bases de datos de la entidad. Por ello es, en lo que a protección de datos se refiere, una de las vulnerabilidades más peligrosas.
    • Guiones de sitio cruzado (”XSS” o “Cross Site Scripting”), encontrándose once vulnerabilidades. Este tipo de vulnerabilidades ponen en peligro los equipos que acceden a servidores web alojados por ARSYS. El peligro respecto a la protección de datos seria la inserción de un programa espía en los equipos, de forma que los atacantes podría tener acceso a toda la información del equipo, así como averiguar los sitios web a los que tienen acceso los usuarios del equipo, sus identificadores de usuario y contraseñas.
    • Comprobaciones débiles (”Weak checks”), encontrándose nueve vulnerabilidades. De difícil clasificación, dichas vulnerabilidades podrían dar, potencialmente, acceso a cualquier servicio del sistema, incluido el acceso a ficheros y bases de datos.

    Es de destacar también la aparición, en el código fuente de las aplicaciones, de nombres de servidores, bases de datos alojadas en ellos, claves de usuario (incluso de administradores), y claves de acceso de esos usuarios.


    Pero ¿Por qué se sancionó a Arsys si hizo todo lo posible y fue diligente a la hora de solucionarlo?.


    La respuesta es sencilla: en materia de seguridad, la ley impone una OBLIGACIÓN DE RESULTADO, consistente en que se adopten las medidas necesarias para evitar que los datos se pierdan, extravíen o acaben en manos de terceros. En definitiva Arsys es, por disposición legal, una deudora de seguridad en materia de datos, y por tanto debe dar una explicación adecuada y razonable de cómo los datos han ido a parar a un lugar en el que son susceptibles de recuperación por parte de terceros, siendo insuficiente con acreditar que adopta una serie de medidas, pues también es responsable de que las mismas se cumplan y se ejecuten con rigor. En definitiva toda responsable de un fichero (o encargada de tratamiento) debe asegurarse de que dichas medidas o mecanismos se implementen de manera efectiva en la práctica sin que, bajo ningún concepto, datos bancarios o cualesquiera otros datos de carácter personal puedan llegar a manos de terceras personas.
    Dicho claramente: hagas lo que hagas, tengas los sistemas de seguridad que tengas, si un dato personal se fuga de tu sistema, podrás ser sancionado.
    Como curiosidad y para terminar, decir que si Arsys no hubiera denunciado ante la Guardia Civil la intrusión de la que fue víctima, es muy posible que el asunto no hubiera aparecido en los medios de comunicación y la Agencia Española de Protección de Datos no habría actuado de oficio como lo hizo en este caso.


    Descargar Resolución sancionadora Arsys


    FUENTE:samuelparra.com
    Citar  
     

  2. #2  
    Moderador HH
    Fecha de ingreso
    Mar 2003
    Ubicación
    Galiza
    Mensajes
    3.919
    Descargas
    8
    Uploads
    1
    moraleja:
    "si hackean tu server no denuncies"

    que no digo que Arsys a lo mejor puedo hacerlo algo mejor pero cualquiera que haya programado una aplicación de más de mil lineas sabe que por mucho que lo intentes, siempre quedará algún error, por ahora, técnicamente es imposible desarrollar software sin errores (nota: eso no implica que no tengas que hacer lo posible para que sean los mínimos posibles y en donde no dean problemas), incluso se debe controlar hasta cierto punto, punto que depende de para que sea usado esa pieza software (no es lo mismo para un dispositivo médito, en donde la la seguridad es más importante que la eficacia, claridad... que para la gestión de un almacén, en donde lo importante es la info guardada). Pero como nuestros políticos de lo único que saben es de robar pues así crean esta mierda de leyes.

    Saludos
    He conocido muchos dioses. Quien niegue su existencia está tan ciego como el que confía en ellos con una fe desmesurada. Robert E. Howard
    La suerte ayuda a la mente preparada.
    Citar  
     

  3. #3  
    Iniciado
    Fecha de ingreso
    Aug 2009
    Ubicación
    a la vuelta...
    Mensajes
    2
    Descargas
    4
    Uploads
    0
    ¿Saben el nombre del troyano usado? Bueno ps gracias por la info clarinetista. Saludos.
    Citar  
     

Temas similares

  1. China sufrió 480.000 ataques de troyanos en 2010
    Por 4v7n42 en el foro NOTICIAS
    Respuestas: 0
    Último mensaje: 11-08-2011, 19:22
  2. Respuestas: 1
    Último mensaje: 24-05-2011, 23:53
  3. fifa 2007
    Por qwserf en el foro JUEGOS
    Respuestas: 0
    Último mensaje: 02-07-2007, 09:37
  4. Respuestas: 4
    Último mensaje: 18-06-2007, 17:17
  5. Office 2007
    Por Nery Felipe en el foro GENERAL
    Respuestas: 0
    Último mensaje: 15-03-2007, 22:46

Marcadores

Marcadores