Professional Documents
Culture Documents
Introduccin
Durante el 2013, Evan Goldberg y Seth
Rogen,
conocidos
comediantes
estadounidenses bromean respecto a una
pelcula que gira en torno a un complot
norteamericano para asesinar al lder de
Corea del Norte, Kim Jong-Un (Khaw,
2014). Lo que parecan solo rumores se
logr confirmar, con James Franco y Seth
Rogen como protagonistas, en marzo del
mismo ao cuando Sony Pictures
Entertainment confirm los rumores
Por
ltimo,
las
herramientas
individuales utilizadas en el ataque a
Vulnerabilidades Aprovechadas
Sabemos por teora que una vulnerabilidad
es una debilidad presente en un sistema y
que permite a un atacante aprovechar dicho
hueco de seguridad para llevar a cabo
acciones
ilcitas
(INTECO,
2011).
Partiendo de este concepto debemos listar
las distintas acciones clave (o exploits) que
llev acabo el grupo Guardians of Peace,
y en funcin a cada una de ellas ir
identificando las vulnerabilidades que
permitieron dichos exploits.
Primero, se ignor la amenaza que se hizo a
SPE (Williams, 2014). Esta la consideramos
como la primera vulnerabilidad a nivel de
comportamiento del personal. El hecho que
la empresa tome tan a la ligera las amenazas
recibidas, y no haya realizado un monitoreo
intensivo de su infraestructura de red (para
detectar anomalas) es el impacto de dicha
vulnerabilidad. Demuestra que no existi un
compromiso con la seguridad de la
informacin en el momento.
En segundo lugar, se tiene la infiltracin a
servidores de Sony. En este caso y dada la
naturaleza silenciosa del ataque es lgico
deducir que fue un spoofing. Esto se basa
en que no hubo ataque forzoso para ingresar
a los servidores, y existe la posibilidad de
que haya habido acceso fsico a la red
(Gallagher, 2014). Tomando esto en
consideracin podemos indicar una segunda
vulnerabilidad: poco nfasis en control de
acceso fsico o lgico a los servidores de
la red. Esto se engloba en pobres
mecanismos de seguridad a nivel de
autenticacin porque estas credenciales de
acceso pudieron haber sido robadas.
Sony
Pictures
Entertainment
(compaa): Afectado. La vctima
principal en el caso de estudio. Durante
todo el ataque perdi 100 terabytes de
informacin
confidencial
sobre
empleados y productos, tuvo que dejar
de operar por un largo tiempo (Paglieri,
2014).
Amy Pascal: Afectada. Presidente y
miembro activo de la junta directiva en
SPE, sufri muchos daos a su imagen
personal y a su tica profesional. Ella
se retir de SPE cortamente despus
del ataque pero indica que la decisin
no se debi a los mail filtrados
(Bergen, 2015).
Steve Mosko: Afectado. CEO de Sony
Pictures Television, junto con Amy
Pascal fueron autores de los mails
filtrados y que ocasionaron graves
daos reputacionales (Gajewski, 2015).
Discusin
Soluciones Tecnolgicas
Fortalecimiento fsico y lgico
Medidas lgicas
Para este caso habra que fortalecer el
control de accesos, esto es con
autenticacin robusta, que podra ser
utilizando doble factor o autenticacin
biomtrica (ESET, 2014), asegurando que
solo personal designado tenga acceso a los
privilegios que le corresponde. De este
modo ningn externo habra podido acceder
a menos que haya tenido apoyo desde el
interior.
Medidas fsicas
Segn el Dominio 11: Seguridad Fsica y
Ambiental de la ISO serie 27000, el
aislamiento de zonas de acceso restringido
debera darse gracias a la correcta
definicin de barreras de entrada y
controles de acceso, un ejemplo puede ser
el uso de personal designado para la
proteccin de entradas o el uso de medidas
lgicas como las previamente mencionadas
(ISO, 2013). Estas zonas de acceso
restringido podran ser centros de cmputo
o cualquier habitacin que albergue los
dispositivos
fundamentales
de
la
infraestructura de red y sistemas de Sony.
Tener un Disaster Recovery Plan (DRP)
con la finalidad de fortalecer la
disponibilidad de los activos de la
informacin (Carroll, 2013), en este caso,
como mencionaba Michael Lynton (2014),
se debera contar con una locacin de
respaldo que cuente con la infraestructura
capaz de levantar el Backup del ambiente
de produccin sin problemas, algo que, de
haber existido, habra ahorrado a Sony
Resultados
Parches y Actualizaciones
Consecuencias
Impacto econmico
demands-joint-investigation-with-us-into-sonyhack
Williams, M. (2014) Hackers contacted Top Sony
executives before attack. Extrado el 23 de Octubre
del
2015
de:
http://www.computerworld.com/article/2857272/le
gal/hackers-contacted-top-sony-executives-beforeattack.html
Miller, Z. (2015) US sanctions North Korea over
Sony Attack. Extrado el 23 de Octubre del 2015
de:
http://time.com/3652479/sony-hack-northkorea-the-interview-obama-sanctions/
INTECO (2011) Cuaderno de notas del
observatorio. Extrado el 23 de Octubre del 2015
de:
http://www.jesusamieiro.com/wpcontent/uploads/2011/08/Que_son_las_vulnerabili
dades_del_-software.pdf
Gallagher, S. (2014) Inside the wiper malware
that brought Sony to its knees. Extrado el 24 de
Octubre
del
2015
de:
http://arstechnica.com/security/2014/12/inside-thewiper-malware-that-brought-sony-pictures-to-itsknees/
Paglieri, J. (2014) Hackers ofrecen clemencia a
empleados de Sony. Extrado el 24 de Octubre del
2015
de:
http://www.cnnexpansion.com/tecnologia/2014/12/
15/hackers-ofrecen-clemencia-a-empleados-desony
RBS (2014) A breakdown and analysis of the
December, 2014 Sony Hack. Extrado el 24 de
Octubre
del
2015
de:
https://www.riskbasedsecurity.com/2014/12/abreakdown-and-analysis-of-the-december-2014sony-hack/#thebeginning
Franceschi-Bicchierai, L. (2014) Don't believe the
hype: Sony hack not 'unprecedented,' experts say.
Extrado el 25 de Octubre del 2015 de:
http://mashable.com/2014/12/08/sony-hackunprecedented-undetectable/#uDXpKrIgcaqm
Mimoso, M. (2014) FBI Warns US Businesses of
Possible Wiper Malware Attacks. Extrado el 25 de
Octubre del 2015 de: https://threatpost.com/fbiwarns-us-businesses-of-possible-wiper-malwareattacks/109662/
Rouse, M.; Gervais, M. (2013) Microsoft Exchange
Information Store. Extrado el 25 de Octubre del
2015
de:
http://searchexchange.techtarget.com/definition/Mi
crosoft-Exchange-Information-Store Ignatius, A.
(2015) They burned the house down: An
Interview with Michael Lynton. Extrado el 25 de
Octubre del 2015 de: https://hbr.org/2015/07/theyburned-the-house-down
Rottenberg, J. (2014) Before Sony hacking, Seth
Rogen was sure North Korea threat was bogus.
Extrado el 25 de Octubre del 2015 de:
http://www.latimes.com/entertainment/movies/mo
viesnow/la-et-mn-seth-rogen-on-north-koreathreat-its-all-a-facade-20141216-story.html