Contraseñas realmente tontas: Krebs sobre seguridad

Las empresas gastan miles de millones de dólares al año en software y hardware para bloquear ataques cibernéticos externos, pero un número impactante de estas mismas organizaciones se disparan en el pie abriendo brechas en sus defensas digitales y luego publicitando esas vulnerabilidades a los atacantes. La publicación de hoy examina un servicio clandestino que alquila acceso a PC pirateadas en organizaciones que cometen este error demasiado común.

Makost[dot]net es un servicio anunciado en foros de ciberdelincuencia que vende acceso a «RDP», principalmente Microsoft Windows sistemas que han sido configurados (mal) para aceptar “Rser emocionado Descritorio PAGSrotocol” conexiones desde Internet. Windows se envía con su propia interfaz RDP integrada; para conectarse a otro escritorio o servidor de Windows de forma remota, simplemente encienda el Conexión de escritorio remoto utilidad en Windows, escriba la dirección de Internet del sistema remoto e ingrese el nombre de usuario y la contraseña correctos para una cuenta de usuario válida en ese sistema remoto. Una vez realizada la conexión, verá el escritorio de la computadora remota como si estuviera sentado frente a ella y tendrá acceso a todos sus programas y archivos.

Makost actualmente vende acceso a más de 6000 instalaciones RDP comprometidas en todo el mundo. Como podemos ver en la captura de pantalla anterior, los sistemas pirateados tienen un precio de acuerdo con una combinación de cualidades del servidor:

• ciudad, estado, país anfitrión;
• derechos administrativos o de usuario habitual;
• versión del sistema operativo;
• número y velocidad de los procesadores de computadora;
• cantidad de memoria del sistema;
• velocidades de carga y descarga de la red;
• NAT o directo

A KrebsOnSecurity se le dio un vistazo dentro de la cuenta de un usuario muy activo de este servicio, una persona que pagó más de $2,000 en los últimos seis meses para comprar unos 425 RDP pirateados. Tomé las direcciones de Internet en el historial de compras de este cliente y realicé búsquedas en la base de datos de WHOIS en un intento por aprender más sobre las organizaciones víctimas. Como era de esperar, aproximadamente las tres cuartas partes de esas direcciones no me dijeron nada sobre las víctimas; las direcciones fueron asignadas a proveedores de servicios de Internet residenciales o comerciales.

Pero los registros de WHOIS arrojaron los nombres de empresas para aproximadamente el 25 por ciento de las direcciones que busqué. El grupo más grande de organizaciones en esta lista estaba en las industrias de manufactura (21 víctimas) y servicios minoristas (20). Mientras buscaba categorizar la cola larga de otras organizaciones de víctimas, recordé la Doce días de villancico.

doce proveedores de atención médica;
diez proveedores de educación;
ocho agencias gubernamentales;
siete empresas de tecnología;
seis compañías de seguros;
cinco bufetes de abogados;
cuatro instituciones financieras;
tres arquitectos;
dos firmas de bienes raíces;
y una empresa forestal (¿en un peral?)

¿Cómo terminaron estas empresas a la venta en makost?[dot]¿red? Eso se explica hábilmente en un informe producido a principios de este año por Onda de confianza, una empresa a la que se llama con frecuencia cuando las empresas experimentan una violación de datos que expone la información de la tarjeta de crédito. Trustwave analizó todas las infracciones a las que respondió en 2012 y encontró, al igual que en años anteriores, “el acceso remoto a IP siguió siendo el método de infiltración más utilizado en 2012. Desafortunadamente para las organizaciones de víctimas, la puerta principal aún está abierta”.

El informe continúa:

“Las organizaciones que utilizan el soporte de terceros suelen utilizar aplicaciones de acceso remoto como Terminal Services (termserv) o Protocolo de escritorio remoto (RDP), pcAnywhere, Virtual Network Client (VNC), LogMeIn o Remote Administrator para acceder a los sistemas de sus clientes. Si estas utilidades se dejan habilitadas, los atacantes pueden acceder a ellas como si fueran administradores de sistemas legítimos”.

“Los posibles atacantes simplemente escanean bloques de direcciones de Internet en busca de hosts que respondan a consultas en uno de estos puertos. Una vez que tienen una lista de objetivos enfocada de direcciones de Internet con puertos de administración remota abiertos, pueden pasar a la siguiente parte del ataque: la debilidad número 2 más explotada: credenciales sordas/débiles”.

En caso de que el punto aún no estuviera lo suficientemente claro, he reunido todos los pares de nombre de usuario y contraseña elegidos por los 430 sistemas habilitados para RDP que se vendieron a este sinvergüenza. Como lo demuestra la lista a continuación, los atacantes simplemente necesitaban escanear Internet en busca de hosts que escucharan en el puerto 3389 (Microsoft RDP), identificar nombres de usuario válidos y luego probar el mismo nombre de usuario como contraseña. En cada uno de los siguientes casos, el nombre de usuario y la contraseña son los mismos.

Algunos de estos pares de credenciales incluso le dan una idea del tipo de organización involucrada, la cuenta del empleado que se vio comprometida («interno», «soporte técnico»); el propósito del sistema pirateado («nómina», «fax», «escáner», «reloj de tiempo»); incluso la ubicación geográfica de la PC comprometida dentro de la organización (por ejemplo, «recepción», «sala de conferencias», «garaje»). Increíblemente, algunos de los sistemas parecen tener el nombre de funciones de seguridad reales o dispositivos de copia de seguridad («symantec», «sonicwall», «sophos»):

dueño dueño
sala de exposición
operaciones operaciones
tren tren
prueba prueba
colin colin
Roberto Roberto
instalar instalar
besadmin besadmin
tony tony
invitado invitado
simantec simantec
stacey stacey
estefanía estefanía
jessica jessica
instalar instalar
recepción
Sophos Sophos
Tim Tim
lisa lisa
invitado invitado
invitado invitado
reloj de tiempo reloj de tiempo
valle valle
djohnson djohnson
juan juan
personal del personal
estudiante estudiante
cw cw
invitado invitado
inventario de inventario
aspnet aspnet
escáner escáner
tableta1 tableta1
reloj de tiempo reloj de tiempo
rsmith rsmith
tara tara
gary gary
usuario usuario
facturación1 facturación1
envío1 envío1
almacén almacén
escocés escocés
cnc cnc
capacitacion capacitacion
personal personal
plantilla plantilla
capacitacion capacitacion
servidor de fax servidor de fax
nicole nicole
ventas ventas
jbrown jbrown
conductor conductor
ksmith ksmith
sistema sistema
ingenieria ingenieria
gking gking
invitado invitado
kclark kclark
kwebb kwebb
invitado1 invitado1
Roberto Roberto
ADMINISTRADOR ADMINISTRADOR
ipad ipad
rae rae
canon canon
envío envío
fax fax
remoto1 remoto1
misión misión
reportero reportero
despacho despacho
guardia guardia
rm rm
marcia marcia
ventas ventas
makik makik
kbrown kbrown
kbrown kbrown
rayo Rayo
jrobinson jrobinson
tienda tienda
remoto remoto
dharris dharris
usuario usuario
bkexec bkexec
cmm cmm
cuna de herramientas
prueba prueba
temperatura temperatura
sbrown sbrown
despacho despacho
alfombra alfombra
laura laura
soporte técnico soporte técnico
bkexec bkexec
ganderson ganderson
buexec buexec
twadmin twadmin
ac ac
ac ac
bkexec bkexec
testu testu
tenedor de libros
servicio rtc servicio rtc
jcampbell jcampbell
mlee mlee
correo electrónico
dueño dueño
bethb bethb
sisadmin sisadmin
cmartinez cmartinez
administrador de cuentas
mattp mattp
conferencia conferencia
prod prod
ws ws
Jackie Jackie
administrador temporal administrador temporal
instalar instalar
soporte soporte
wendy wendy
rico rico
simmons simmons
agarcia agarcia
Jens Jens
prod prod
reloj de tiempo reloj de tiempo
especialista especialista
cristina cristina
capacitacion capacitacion
sqlexec sqlexec
producción producción
usuario de prueba usuario de prueba
garaje garaje
sms sms
ldap ldap
punto compartido punto compartido
epicor epicor
epicor epicor
arenoso arenoso
recurso recurso
carrie carrie
nancy nancy
remoto remoto
lisa lisa
ventas ventas
Cristina Cristina
instalaciones instalaciones
erika erika
seagate seagate
mmmills mmmills
pago pago
susana susana
pedro pedro
seguro seguro
Administrador Administrador
Maureen Maureen
micro micro
capacitacion capacitacion
av av
horario horario
brad brad
reloj de tiempo reloj de tiempo
awilson awilson
espadmin espadmin
cecilia cecilia
renee renee
fax fax
hijo hijo
joey joey
caroot caroot
radiografía
dallen dallen
triaje triaje
ewilliams ewilliams
jordan jordan
empleado empleado
danny danny
bkupexec bkupexec
bu bu
monroe monroe
mmiller mmiller
seagate seagate
mmurray mmurray
reclutando reclutando
jsmith jsmith
jwilson jwilson
buexec buexec
miguel miguel
joder joder
bobc bobc
caroot caroot
cronos cronos
jverde jverde
bkupexec bkupexec
laboratorio de laboratorio
jaime jaime
davidf davidf
cronos cronos
radiografía
rmarrón rmarrón
bizhub bizhub
julia julia
bec bec
pago pago
tuser tuser
bjohnson bjohnson
jbox jbox
entrada de datos entrada de datos
es compatible es compatible
punto compartido punto compartido
ordenador personal
voluntario voluntario
correo postal
konica konica
molino molino
canon canon
voluntario voluntario
heidi heidi
carla carla
tracy tracy
recepción
conductor conductor
operaciones operaciones
entrenador entrenador
cuentas cuentas
labuser labuser
producción producción
jsmith jsmith
sup890 sup890
instalador instalador
ayuda ayuda
pasante pasante
la la
reloj de tiempo reloj de tiempo
confirmar confirmar
asamblea asamblea
juan juan
espadmin espadmin
jdoe jdoe
bloomberg bloomberg
currículum currículum
adjuntar adjuntar
asamblea asamblea
faxes faxes
faxes faxes
aevans aevans
tjones tjones
dbagente dbagente
Escáner Escáner
oficina de recepción
Facturación Facturación
enfermera enfermera
EM EM
buexec buexec
radiografía
Juana Juana
recepción
bkupexec bkupexec
kjohnson kjohnson
marcia marcia
kbrown kbrown
calle calle
awilliams awilliams
lsmith lsmith
correo de voz correo de voz
lsmith lsmith
wilkerson wilkerson
wilkerson wilkerson
wilkerson wilkerson
administrador de fax administrador de fax
administrador de fax administrador de fax
administrador de fax administrador de fax
vismail vismail
Aspuser Aspuser
jh jh
pmartin pmartin
tammy tammy
melanie melanie
mfg mfg
dwright dwright
punto compartido punto compartido
móvil móvil
formularios formularios
conferencia conferencia
sala de examen
seguro seguro
confroom confroom
archivador archivador
Producción Producción
restaurar restaurar
Correo electrónico Correo electrónico
exportar exportar
Nómina Nómina
schulung schulung
tableta tableta
temperatura temperatura
cci cci
michele michele
jimm jimm
soporte técnico soporte técnico
exadministrador exadministrador
randerson randerson
ecopia ecopia
triaje triaje
ecopia ecopia
piscina piscina
jcampbell jcampbell
laboratorio de laboratorio
jtaylor jtaylor
dmartin dmartin
marcado marcado
RSVP RSVP
administrador de cuentas
ataylor ataylor
policia policia
copia de seguridad
plantilla plantilla
presentación presentación
configuración de configuración
jeffm jeffm
fábricas de especias fábricas de especias
laboratorio de laboratorio
escoba escoba
vorlage vorlage
cumbre cumbre
intercambio intercambio
usuario2 usuario2
corpconf corpconf
exadministrador exadministrador
robinson robinson
tservidor tservidor
faxes faxes
faxes faxes
cmm cmm
oeste oeste
envío envío
BANDEJA DEL SISTEMA
usuario de escaneo usuario de escaneo
besadmin besadmin
davidm davidm
laboratorio de laboratorio
cnc cnc
faxes faxes
faxes faxes
ayudar ayudar
toshiba toshiba
laboratorio de laboratorio
exadministrador exadministrador
tadmin tadmin
currículums currículums
currículums currículums
escanear1 escanear1
envío envío
administrador administrador
administrador de intercambio administrador de intercambio
debbie debbie
edi edi
kate kate
examen examen
examen2 examen2
estación de trabajo2 estación de trabajo2
entrenador2 entrenador2
escáner escáner
cs cs
libros libros
katie katie
jefe jefe
rico rico
konica konica
laurie laurie
salón de clases
punto punto
molino molino
personal2 personal2
investigacion investigacion
recepción
despacho2 despacho2
Pete Pete
smiller smiller
oficina oficina
conferencia conferencia
tenedor de libros
ventas1 ventas1
enrutador enrutador
usuario1 usuario1
fax fax
exchadmin exchadmin
stacy stacy
de guardia de guardia
postgres postgres
cuarto de herramientas
copias de seguridad
rico rico
confroom confroom
producción producción
jake jake
cocina cocina
cliente2 cliente2
archivo archivo
ws ws
delia delia
usuario de servicio de datos qb usuario de servicio de datos qb
brac brac
velocidad de velocidad
pared sónica pared sónica
rec rec
administrador de ti administrador de ti
paquete paquete
voluntario voluntario
correo postal
impresora impresora
sur sur
prueba de prueba
prueba de prueba
partes partes
sala de conferencias
correo de voz correo de voz
informes informes
partes partes
correo de voz correo de voz
envío envío
escáner escáner
capacitacion capacitacion
perro guardián
amanda amanda
usuario4 usuario4
estudiante1 estudiante1
lo lo
jackie jackie
escanear escanear
salón de clases
cliente1 cliente1
cliente1 cliente1

Si ha leído hasta aquí, espero que ya haya quedado claro que la forma más fácil de piratear sus sistemas mediante RDP es elegir credenciales de mala calidad. Desafortunadamente, demasiadas organizaciones que terminan a la venta en servicios como este están allí porque subcontrataron su soporte técnico a una empresa de terceros que se involucra en este tipo de seguridad descuidada. Afortunadamente, un escaneo rápido de puertos externos de los rangos de direcciones de Internet de su organización debería indicarle si algún sistema equipado con RDP está habilitado. Aquí hay algunos consejos más sobre el bloqueo de RDP instalaciones.

Los lectores a los que les gustó esta historia también pueden disfrutar de este artículo, Service Sells Access to Fortune 500 Firms, que examinó un servicio similar para vender sistemas RDP pirateados.