Está usted visitando una publicación en la hemeroteca de CSIRT-CV.
Para acceder al portal y contenido actual, visite https://www.csirtcv.gva.es
29/06/2011
Poden ser els propis empleats tant perillosos com els hackers?
El Departament de Seguretat Nacional nord-americana (DHS), llançarà una llista amb els 25 errors de programació més importants, que permeten que es duguen a terme els atacs 'hackers' més comuns i perillosos.
L'objectiu és donar informació a les companyies i les organitzacions sobre els canals que utilitzen els 'hackers', per a aconseguir accés a informació confidencial i servidors. No obstant això, els treballadors també poden suposar un problema. Els errors de programari que apareixeran en la llista del DHS són molt comuns i poden donar lloc als anomenats exploits 'zero Day' (dia zero).
El primer element en aquesta llista és un error de programació que pot fer que un servidor siga vulnerable a atacs d'injecció SQL, com els utilitzats per organitzacions com LulzSec i Anonymous per a accedir a informació suposadament segura.
La llista ha estat creada pel DHS en col·laboració amb SANS Institute i Mitre i, segons informa el New York Times, inclourà informació personalitzada per a diferents tipus d'empreses, com ara les dedicades a la banca online o a l'e-commerce. A més, advertirà de quins són els errors més comuns en aquest tipus de negocis.
No obstant això, moltes vegades la principal amenaça per al Govern i les grans companyies no són aquests ciberpirates i els seus sofisticats mètodes de ciberpirateig (hacking) que s'aprofiten de vulnerabilitats, sinó els propis treballadors.
Segons un article publicat per Bloomberg, molt sovint són els empleats els qui posen en perill informació confidencial. Encara que aquesta acusació pot semblar exagerada, l'article dóna alguns exemples prou concloents.
Així, per exemple, es recorda que la major filtració a WikiLeaks es va produir perquè un treballador va descarregar la informació en un CD o que el recent cas que va afectar l'empresa de seguretat RSA, va poder ocórrer perquè un empleat va obrir un arxiu maliciós d'un correu marcat com no segur.
Per si això no fóra poc, un simple error també podria tindre conseqüències negatives. El Departament de Seguretat Nacional va realitzar un experiment en què deixava CDs i memòries USB en aparcaments d'edificis oficials, per a observar si eren arreplegats i després utilitzats. El DHS va descobrir que es va accedir a un 60% dels dispositius que es van arreplegar. No obstant això, si tenien un logotip oficial el percentatge augmentava fins al 90%. És a dir, la curiositat també afecta treballadors que, suposadament, coneixen els riscos de seguretat que comporten les seues accions.
En aquest sentit, Bloomberg recorda que els atacs socials estan creixent i, a més, es tornen més sofisticats. De fet, segons dades de Symantec, els intents de ciberpesca (phising) van augmentar un 6,7%, entre juny del 2010 i maig d'enguany. A més, els atacs cada vegada es dirigeixen a objectius més concrets, com a executius, que es creuen més protegits que els seus empleats i en els ordinadors dels quals hi ha informació més important.