Conociendo al enemigo.

“Conoce a tu enemigo y conócete a tí mismo, y saldrás triunfador en mil batallas.” — Sun Tzu.

En la actualidad, muchas organizaciones continúan aplicando un enfoque de seguridad netamente detectivo, lo cual genera que la mayoría de las acciones que se realizan sean reactivas. Esto trae como consecuencia que siempre estén un paso atrás de los atacantes.

Siguiendo el consejo de Sun Tzu, si pudiéramos conocer y aprender de las acciones que realizan los atacantes en contra de nuestros sistemas, sería de mucha utilidad para aplicar un enfoque de seguridad más proactivo y por ende, prevenir posibles ataques.

Es importante conocer por ejemplo, qué herramientas utilizan, dónde buscan las vulnerabilidades, qué técnicas usan para explotar alguna vulnerabilidad, en qué horario realizan sus acciones y cualquier otra acción o actividad que nos pueda ayudar a aplicar medidas de seguridad más efectivas.

Nuestros sitios web están constantemente siendo asediados por diferentes tipos de ataques. En un informe que presentó Sucuri sobre el análisis de más de 8.000 sitios web durante el 2016, podemos sacar algunos datos interesantes que nos ayudarían a ser más proactivos en la aplicación de medidas de protección a nuestros portales.

Podemos observar que Worpress es el CMS con mayor cantidad de infecciones durante el 2016.

Otro dato interesante es la cantidad de portales que se encontraron desactualizados al momento que fueron infectados.

Este problema, al parecer es muy común y de seguro se repite en gran cantidad de organizaciones. El simple hecho de tener sistemas expuestos a internet, desactualizados o sin parches de seguridad, aumenta las opciones de que un atacante pueda explotar algún fallo de seguridad ya reportado.

A diario se reportan gran cantidad de vulnerabilidades de diferentes vendors o productos y, aunque parezca una tarea titánica, debemos conocer y estar al tanto cuando se reporten vulnerabilidades de algún sistema nuestro. Esto nos ayudaría a saber a qué problema nos enfrentamos y a tomar decisiones informadas sobre las medidas de seguridad a implementar.

Es ya conocido que la mayoría de los ataques a portales web están relacionados con tratar de infectar al mismo con un software malicioso y esto está relacionado con la intención que tenga el atacante de qué hacer con nuestro portal.

Vemos cómo la gran mayoría de los ataques van relacionados a crear puertas traseras en nuestros sistemas. Y por otra parte, lo que hace algunos años era el boom, las desfiguraciones de portales web, han disminuido.

Al parecer, la intención de los atacantes es lograr mantener el acceso del ambiente mediante backdoor. Estos backdoor permiten a los atacantes eludir los controles de acceso existentes en el entorno del servidor web.

Para finalizar, cabe destacar que los 3 archivos más infectados durante el análisis a estos portales web, fueron el index.php, header.php y el .htacces.

Para la búsqueda de vulnerabilidades, puedes consultar Howlermonkey