16 feb 2009

Una bomba lógica en Fannie Mae deja a la empresa parada una semana

Un ex ingeniero de la empresa Fannie Mae, despedido en Octubre del año pasado, dejó plantada una bomba lógica que atacó los 4000 servidores de la empresa, causando millones de dólares en daños y causando que la empresa cierre sus puertas por al menos una semana.

El nombre del atacante, es Rajendrasinh Babubahai Makwana, un ingeniero de 35 años que dejó un script en el servidor central el día de su despido, y lo programó para mantenerse "en espera" durante tres meses. Makwana fue detenido por la justicia aunque una fianza de U$D 100.000 lo dejó en libertado. Ahora, se enfrenta a un juicio que puede dejarlo hasta 10 años en prisión.

Según informa la empresa, el atacante trabajó durante tres años en el área de Sistemas, específicamente en el Data Center en Urbana, Maryland. Además, tenía acceso administrativo a todos los servidores de la organización.

Un agente del FBI indicó que Makwana dejó el script dentro de un programa legítimo (separando con una serie de saltos de línea para ocultarlo) luego de haberse enterado de su despido. Aparentemente "razones burocráticas" hicieron que durante casi 24 horas los permisos de este ingeniero se mantuvieran intactos. El mismo agente informó que el script deshabilitaba el login a los servidores en producción para toda la empresa, modificaba el password de root, reescribía información (incluídos los backups) y generaba una denegación de servicio en un software de alta criticidad. Además, se replicaba automáticamente en el resto de los servidores.

Sin embargo, el ataque fue detectado por otro ingeniero de la empresa cinco días después de haber comenzado su propagación y llegó a afectar solo a decenas de servidores. Si hubiera afectado a los 4000 servidores, las pérdidas hubieran sido mayores, el tiempo de recuperación también, y probablemente la empresa no se hubiera podido recuperar.

Este tipo de hechos, demuestran una vez más la criticidad de los ataques perpetrados por personal interno de la organización, más específicamente por personal con acceso administrativo a los servidores y conocimientos informáticos.

A la hora de despedir a un empleado, se deben tomar los recaudos necesarios para evitar este tipo de hechos, y la persona no debe tener acceso (ni físico ni remoto) a los sistemas de la empresa una vez que fue informado de su desvinculación de la organización.

Fuentes:
http://www.theregister.co.uk/2009/01/29/fannie_mae_sabotage_averted/
http://blog.wired.com/27bstroke6/2009/01/fannie.html
http://blogs.zdnet.com/BTL/?p=11905

Sebastián - Redacción de Segu-Info

Suscríbete a nuestro Boletín

0 Comments:

Publicar un comentario

Gracias por dejar un comentario en Segu-Info.

Gracias por comentar!