En curso para una buena piratería


Una historia sobre la facilidad con la que los piratas informáticos podían hacer un hoyo en uno con la purple informática de un club de golfing de primer nivel en el Reino Unido.

Los palos de golfing y el ciberdelito no podrían parecer más separados, pero cuando se trata de ciberseguridad, las empresas de todos los tamaños son objetivos y sus propietarios nunca deben asumir que nada es completamente estanco. Sin embargo, el golf está más asociado con los negocios, por lo que cuando recientemente me pidieron que investigara y probara la ciberseguridad de un club de golfing independiente del Reino Unido, pensé que sonaba como un experimento interesante.

Además, el dueño del club afirmó que yo «lucharía» para hackearlos, ya que tienen a alguien que está «por encima de nuestra seguridad». ¡Decir esto solo me hizo más decidida y más preparada para el desafío!

No he jugado al golf en algunos años, pero en mi época universitaria pasé un buen puñado de ocasiones pirateando el campo con mi hierro 7. Sin embargo, más recientemente, me he dedicado a un tipo diferente de piratería, que es mucho más divertido y mucho menos lastimador del ego.

Con 14 años de experiencia en la unidad de ciberdelincuencia y forense digital en la policía, Ahora reviso y analizo las posibles amenazas cibernéticas que enfrentan las empresas. Ser capaz de comprender a los piratas informáticos criminales a menudo ayuda a revelar información sobre su forma de pensar, lo que luego puede conducir a una mejor protección para las organizaciones.

En este punto, necesito agregar un pequeño descargo de responsabilidad. Antes de embarcarme en mi escapada en este hermoso campo en la impresionante campiña inglesa, el propietario del club me otorgó acceso completo y permiso para ir a donde quisiera y hacer lo que quisiera, ¡dentro de lo razonable, por supuesto!

Como con cualquier buen atraco, la investigación es vital. Aunque estoy familiarizado con el entorno, la jerga y la vestimenta de un club de golfing de calidad, necesitaba aprender todo lo que pudiera sobre el own y este club específico en cuestión y aquí es donde Google es tu mejor amigo. Armado con mis hallazgos en línea y un par de técnicas de calidad en mi bolsillo trasero, estaba bastante seguro de que podría divertirme un poco con mi establecimiento de golf objetivo.

Decidí hacerme pasar por un productor asistente de televisión, solicitando hacer una visita de reconocimiento para un nuevo comercial y solicitando tomar algunas fotos para informar a mi productor. Llamé al club con una semana de anticipación y les conté mi historia previa al contexto. El gerente de desarrollo comercial respondió a la llamada y (naturalmente) le encantó la concept, y me invitó con entusiasmo a visitar el club la semana siguiente.

Figura 1. Hackear un palo de golf

Un día de campo para los piratas informáticos

Llegué al campo una mañana soleada y me dirigí directamente a la recepción poco después de las 9 am, equipado con mi computadora portátil, unidad USB, cámara DSLR y una chaqueta confiable de alta visibilidad. Una vez que me reuní con el gerente de desarrollo comercial con el que había hablado anteriormente, me alejé durante una hora con mi cámara y tomé algunas fotos del curso.

A mi regreso, le mostré las fotos y le pregunté si podía usar su Wi-Fi privado, mencioné que sería más seguro (!), Y solicité la contraseña, que me fue felizmente dada. Luego declaré que había olvidado algunos documentos que debían firmarse, así que le pregunté si podía insertar mi unidad USB en su computadora para imprimir un formulario de autorización. Él obedeció e incluso dijo: «Normalmente no dejaría que alguien que no conozco haga esto, pero como es para la televisión, haré una excepción».

Fue entonces cuando presencié el verdadero espectáculo de terror, algo que no esperaba volver a ver nunca más. ¡¡Todavía usaban Windows XP !! El soporte para este sistema operativo cesó en 2014 y es muy peligroso cuando está conectado a Online, por lo que ver esto en la naturaleza me hizo temblar de asombro, incluso de miedo. Para empeorar las cosas, XP se estaba ejecutando en la máquina del taller con su program de punto de venta encendido. Con todos los datos financieros y confidenciales que se procesan a través de este dispositivo, sería un resultado muy peligroso si fuera un objetivo.

Una vez que fingí que el documento que necesitaba imprimir no estaba en mi USB, me ofrecí a enviar un formulario de prelanzamiento falso a través de Google Forms para obtener información individual adicional de él, junto con una de sus contraseñas. Hizo clic en este enlace inmediatamente y lo llenó. De hecho, luego recibió una llamada y me dejó con acceso completo a dos máquinas más sin que nadie mirara.

Con acceso a la contraseña de Wi-Fi, unidades USB e incluso máquinas sin supervisión, podría haber completado cualquier exploit que pudiera soñar. Desde instalar un troyano de acceso remoto o registradores de pulsaciones de teclas en las máquinas, hasta colocar otro malware, como ransomware, en la purple para exigir un pago para descifrar los datos, ¡esto fue un placer para los piratas informáticos!

Dejar la estación de trabajo sin supervisión y sin llave es un peligro en cualquier lugar de trabajo, pero particularmente en una posición en la que el público puede simplemente entrar y unirse a los otros pasos en falso de seguridad, me hace darme cuenta de que algunas empresas todavía están muy atrasados ​​en su seguridad.

Por supuesto, en realidad no aproveché la purple en este club de golf, pero las lecciones aprendidas fueron vitales y la seriedad es preocupante. La cantidad de datos personales, confidenciales y financieros almacenados en la purple a la que tenía acceso completo podría ser extremadamente costosa. Si se comprometiera, las multas de GDPR por filtrar este tipo de información personalized podrían haber sido catastróficas. Unirse a un club de golfing implica entregar mucha información, por lo que si un club perdiera estos datos, habría consecuencias enormes y más de una víctima.

Juega el juego largo

La simplicidad de piratear en algún lugar puede ser asombrosamente impresionante. Una historia de fondo de calidad, un toque de encanto y un poco de suerte lo llevarán a la mayoría de las áreas que podrían ser explotadas. Sin embargo, si se han pasado por alto los conceptos básicos de ciberseguridad, la nefasta tarea en cuestión puede ser mucho más fácil. Una chaqueta de alta visibilidad solo ayuda a sellar el trato.

Explotar a los débiles o vulnerables es exactamente en lo que los actores de amenazas son buenos, por lo que todos necesitamos mejorar nuestros juegos fuera del campo de golf y comenzar a enfocarnos en dónde están esas debilidades en nuestros negocios.

En el informe al propietario del club de golfing, estaba algo conmocionado, pero igualmente no sorprendido. Él mismo dijo que nunca pensó que alguien alguna vez piratearía su negocio y asumió erróneamente que los piratas informáticos se sientan en sudaderas con capucha y persiguen a las grandes empresas. Sin embargo, la verdad es que todas las empresas son un objetivo potencial y, si siguen siendo tan fácilmente penetrables, seguirán siendo una buena opción para los piratas informáticos.



Enlace a la noticia unique