Los documentos de Panamá – ¿Podría ocurrir a usted?

He aquí una buena conjetura: hace un mes, que nunca había oído hablar de una compañía llamada Mossack Fonseca.

Aquí es otra suposición: que tiene ahora .

Usted sabe que son una compañía de servicios legales y de confianza , que están sede en Panamá, que fueron fundadas en 1977, y que recientemente sufrió la madre de todas las violaciones de datos.

En realidad, a partir de lo que sabemos ahora, la empresa no sufrió tanto como una violación de datos soportar uno.

De acuerdo con una historia por la revista Forbes, los datos robados ha estado disponible a "más de 400 periodistas" durante al menos un año, y llegó a una serie de "troves de datos gigantescos que vinieron en forma incremental.

Al parecer, 2.6TB de datos fue robada en la brecha, lo que probablemente trabajar a cabo en algún lugar entre 3.000.000 y 300.000.000 de páginas impresas, asumiendo que se podría alimentar en el papel lo suficientemente rápido.

Nadie se ha cargado en cualquier tipo de papel, por supuesto: los datos robados se organizó digitalmente en la nube, donde los periodistas con las credenciales correctas, literal y figurativamente, puedan acceder a él.

Impreso o no, el incumplimiento se ha entrado en la historia como los papeles de Panamá.

Control de daños

Mossack Fonseca, como podrán imaginar, ha publicado decenas de artículos de control de daños y preguntas frecuentes, la creación de un sitio web especial llamado mossfonmedia.com para el propósito.

(Como casi con gracia irónica a un lado, si se intenta visitar este sitio de forma segura mediante HTTPS, obtendrá un error de certificado web gracias a un certificado autofirmado que expiró hace más de un año.)

Si usted no hace caso de las advertencias de seguridad, tal y como parece Mossack Fonseca haber hecho de una manera más general para el último año o dos, usted encontrará un montón de material de lectura.

Pero el único comentario oficial que hemos visto la misma infracción es éste , publicado por Mossack Fonseca poco después de que los datos robados primera se utilizó públicamente señalar a los autores de alto perfil de personas que habían hecho uso de los servicios legales y de negocios costa afuera de la compañía en años recientes:

Por desgracia, hemos sido objeto de una violación no autorizada de nuestro servidor de correo electrónico. Si usted no ha oído de nosotros hasta ahora, eso significa que tenemos razones para creer que su información no se ha visto comprometida. Lamentamos sinceramente este evento y tienen que adopte todas las medidas necesarias para evitar que esto vuelva a suceder.

¿Es probable?

Con 2.6TB de datos robados, al parecer, incluyendo papeles de vuelta a 1977, cuando se fundó la empresa, es de suponer ahora digitalizados y almacenados en algún tipo de sistema de gestión de contenidos (CMS), que es difícil imaginar cómo una violación del servidor de correo electrónico por sí solo podría haber dado lugar a una violación a esta escala.

Si es poco probable, ¿por qué tratar de culpar a lo que suena como una sola infracción, limitada?

Se podría pensar que la respuesta obvia es que Mossack Fonseca está tratando de ocultar algo, pero eso es poco probable también. (A partir del tamaño de la infracción, no parece haber nada que ocultar.)

El problema con una enorme brecha en verdad, sobre todo si se llevó a cabo justo al otro lado de la red durante un período prolongado sin que nadie se dé cuenta de que algo estaba mal, es que nunca se puede ser capaz de averiguar exactamente lo que sucedió.

Después de todo, si no te diste cuenta, es probable que no estuviera recogiendo el tipo de datos de registro que le permiten aviso, por lo que no tendrá las pruebas que necesita para ayudarle a trabajar hacia atrás a la causa.

E incluso si usted tiene los datos de registro, pero que no mantenga sus ojos en él en ese momento, es posible que nunca se sabe cómo una historia exacta que cuenta, ya que los ladrones podrían haber suprimido en los momentos clave, o manipulado con ella, o es posible que haya sido recogida de las cosas mal.

¿Que pasó?

Todavía sólo podemos adivinar lo que pasó.

Sabemos de la declaración oficial de Mossack Fonseca que su servidor de correo electrónico se cortó definitivamente, por lo que podemos estar seguros de que uno de los servidores externos que enfrenta-críticos de la compañía era insegura.

Encontrar a otros agujeros de seguridad no es sorprendente, e igualmente decepcionante, pero no significa que se utilizaron todos los agujeros ahora conocidos, o incluso necesario, para los ladrones para entrar.

Sin embargo, como hemos sugerido en un artículo reciente, un servidor de correo en peligro, o incluso una sola cuenta de correo electrónico en peligro, podría haber sido suficiente cantidad de una grieta en las defensas para que los ladrones proliferan dentro de la red sin ningún tipo de piratería más.

Su servidor de correo electrónico de correo electrónico no es todo el castillo, pero es probable que contiene las llaves del castillo para cualquier ladrón que se preocupa de tomar la molestia de mirar.

Las contraseñas y los enlaces de restablecimiento de contraseña, por ejemplo, a menudo se ha enviado por correo electrónico; por lo que son datos de la cuenta; los datos de contacto del personal de TI que pueden ayudar si se queda atascado; organigramas útiles y directorios telefónicos internos; la información de acceso para las cuentas de nueva creación; los resultados de las auditorías de seguridad (mucho más rápido que el sondeo de vunerabilities usted mismo); y así.

Con todo, la gallina de los huevos de oro de la ingeniería social.

Una vez dicho esto, una compañía llamada WordFence recientemente miraba a otras dos partes importantes de la infraestructura de servidores de Mossack Fonseca.

sitio web principal de la empresa utiliza WordPress; de acuerdo con WordFence, la configuración WordPress incluye un plugin de cochecito que se podría utilizar para obtener acceso no autorizado.

(Plugins de WordPress Buggy menudo se olvidan cuando la instalación principal de WordPress es parcheado, dejando todo el servidor en riesgo de un corte completo.)

WordFence también notó que el portal de clientes de Mossack Fonsecsa, exactamente donde se almacena el tipo de datos revelados en la brecha, se ejecuta una versión obsoleta de duración de Drupal .

De hecho, la versión de Drupal ha señalado por WordFence era 7,23, que es anterior a cierta distancia por el notorio Drupal 7.32 parche que se remonta a octubre de 2014.

El parche 7.32 Drupal fue notorio porque los ladrones utilizan la actualización 7.32 de averiguar qué agujeros habían sido parcheado usando los parches como un manual de clase-de instrucciones para cómo introducirse en los servidores que aún no tiene sin parches.

De acuerdo con Drupal, ataques utilizando el agujero divulgado recientemente comenzaron "en cuestión de horas" – un marco de tiempo difícil de superar, ya que Drupal no tiene un proceso de actualización automática, e incluso los más entusiastas sysdamins veces necesite dormir.

¿Qué hacer?

En los artículos de este tipo, por lo general terminar con lista de consejos que puede probar.

Esta vez, sólo tendremos que señalar que, sin embargo, los documentos de Panamá se rompieron en realidad, parece que Mossack Fonseca quedó fuera de los conceptos básicos de la seguridad del servidor, no cerrando los agujeros conocidos que ya eran parte del arsenal crbercriminal.

Por lo tanto os dejamos con las palabras concisas de Seguridad del desnudo Marcos Stockley:

La respuesta a "¿Qué pasó>" es, "No sabemos." Pero tienen un plugin vulnerables que permite abrir una shell de root y de su servidor web está en la misma red que el servidor de correo electrónico, por lo que podría ser eso. Misma lección que Sony Pictures: acaba de hacer las cosas que sabe que debería estar haciendo.