Ataque de un INSIDER
Escenario
La empresa a la cual asesoramos se dedica al autotransporte de carga en sus diferentes modalidades, -larga distancia, logística y distribución y transporte de productos refrigerados-.
Comenzó en la década del sesenta, distribuyendo los productos de las embotelladoras barriales, las que luego se fueron fusionando, transformándose en grandes compañías embotelladoras internacionales. De esta forma se han comenzado las operaciones con la distribución de las más importantes bebidas de la Argentina desde la Ciudad de Buenos Aires hacia el resto del país.
Cuenta con una Flota propia de alrededor de 150 camiones que están distribuidos por todo el país, además de administrar a más de 100 transportistas independientes tercerizados.
Su centro de operaciones está ubicado en la Ciudad Autónoma de Buenos donde cuenta con un taller para atender vehículos pesados, guarda de camiones, oficina de operaciones y transferencia de cargas.
En las oficinas administrativas se encuentra alojado el centro de datos el cual está en red con todos los demás puntos, a través de la utilización de VPN’s.
Toda la estructura de sistemas está a cargo de 2 administradores quienes se distribuyen las tareas de mantenimiento, soporte y planificación.
El caso
La situación surge a partir de la decisión de desvincular al administrador de sistemas, quién llegó a conocer ésta intención en forma previa a que fuera notificado formalmente.
Las cosas parecieron continuar con su curso normal hasta que, al día siguiente de hacer efectivo el despido de este empleado la empresa se encuentra con las siguientes novedades:
- La contraseña del usuario administrador había sido modificada.
- Los privilegios de los usuarios habían sido removidos.
- Las contraseñas de acceso a los routers se habían modificado.
- La contraseña de acceso al portal de licenciamiento de Microsoft se había modificado.
- El controlador de Dominio está instalado en un servidor Hewlet Packard con RAID 5.
- El escenario que se avizoraba planteaba el interrogante de si este empleado pudiera tener acceso remoto a la red y ante la incerteza se procedió como si así fuera.
Por tal motivo medida inmediata, se propuso reemplazar los routers en todos los puntos de acceso a la red para tomar el control en los accesos a la red corporativa.
El siguiente paso consistió en virtualizar el DC para poder trabajar luego en un ambiente laboratorio y buscar una solución que se pudiera implementar en el ambiente de producción.
Ante la imposibilidad de instalar software por carecer de usuario administrador, se compró un software que permite arrancar el servidor y virtualizarlo en un disco externo sin necesidad de instalar.
A la imagen virtual así obtenida se la copio en diferentes discos externos y se trabajó en distintos equipos con diferentes líneas de acción.
Un equipo encontró vulnerabilidades en el software y logró modificar la clave con éxito. Se redactó un procedimiento el cual pude ser replicado con éxito en el entorno de producción.
Otro equipo se ocupó de obtener los hashes de las claves de usuarios para luego mediante el uso de herramientas afines obtener la correspondiente al administrador del dominio.
Esto pudo ser completado en 60 días.
Lecciones aprendidas
El contar con más de una persona gestionando el área de sistemas es condición necesaria pero no suficiente para mantener a resguardo la continuidad del negocio.
Resulta esencial contar con una política de Recursos Humanos que monitoree los procesos en donde intervienen puestos críticos para la compañía. El nivel de seguridad está determinado por su eslabón más débil y éste en términos generales suele ser el usuario.
En el caso descripto podemos decir que falló el proceso de desvinculación. Según el modelo del “Triángulo del Fraude”.
Para que una persona cometa Fraude son necesarias 3 condiciones.
Presión – Oportunidad - Justificación
La presión es lo que motiva el delito en primer lugar. En general estos esta originado por necesidades económicas o financieras que serán los disparadores en caso de que ocurran las siguientes etapas.
El segundo elemento necesario para cometer fraude es la oportunidad percibida, la cual define el método por el cual se cometerá el ilícito. La persona debe ver alguna forma por la cual puede abusar de su posición de confianza para resolver sus problemas económicos o financieros.
La tercera etapa necesaria para cometer fraude es la justificación. La mayoría de las personas que cometen fraude no tienen pasado ni conducta como delincuentes. Por tal motivo, el defraudador, necesita encontrar motivos que justifiquen sus actos de una forma que sean aceptables.
Cuando lo logra se cierra el triángulo y se comete el fraude.
El Plan de continuidad del negocio NO es un asunto meramente tecnológico o de control. En cambio es un tema en el que deben involucrarse TODAS las áreas de la organización.
|