RSA Security es una de las empresas mas importantes en la seguridad, en donde encontramos el algoritmo criptográfico de RSA de clave publica, en este caso es el mas utilizado, algunos tipos son e-commerce, firma digital, transacciones en linea, etc.
En el ataque que se realizo según la compañía no obtuvo ninguna información valiosa ni nada que perjudique a los clientes de RSA SecurID, mas sin embargo este tipo de ataque lo calificaron como APT (Advance Persistent Threat), el cual no es un ataque común si no que van directamente a un objetivo en particular, estos utilizan por lo regular algo que se conoce como 0-Day y de esta manera casi in detectables así de esta manera teniendo la interacción con el objetivo.
El ataque comenzó con con un envio de dos correos en un periodo de dos días esto a dos grupos pequeños de empleados. Donde la compañía RSA no considera de alto rango o valiosos a este grupo que atacaron. Dentro de una organización de este calibre, todos los usuarios con acceso a la red deberían ser considerados de alto riesgo y protegidos por igual. Se les envió un correo con el asunto "2011 Recruitment Plan" con un Excel del mismo nombre adjunto. Uno de los usuarios, incluso, rescató el email de la carpeta de correo basura. Según RSA, es porque el correo estaba muy bien construido. Una buena política de seguridad debería prohibir y entrenar expresamente a los usuarios para no abrir archivos no solicitados, sin excusas.
El Excel contenía en su interior un fallo no conocido hasta el momento en Flash, que permitía la ejecución de código. De hecho, Adobe anunció el 14 de marzo que sabía que una vulnerabilidad desconocida estaba siendo aprovechada para atacar sistemas. Si bien no hacía mención explícita a RSA, parece que la vulnerabilidad apareció a causa de este ataque. Adobe ya lo ha solucionado con un parche emitido fuera de su ciclo habitual.
De esto se deduce que, aunque RSA hubiera mantenido todo su software actualizado, el atacante hubiese igualmente conseguido ejecutar código. En estos casos, es en los que se echa de menos el uso de herramientas como DEP o ASLR o cualquier otro software que prevenga los desbordamientos de memoria. Es irrelevante el uso de Office, LibreOffice o Flash... si los atacantes han tenido acceso a un 0 day en Flash... podrían haberlo conseguido de cualquier otro programa.
Luego los atacantes instalaron una variante del conocido RAT (herramienta de administración remota) Poison Ivy y crearon una conexión inversa hacia un servidor propio del atacante. RSA afirma que "esto lo hace más difícil de detectar", pero no es del todo cierto. Lo que hace más difícil de detectar estas conexiones es el hecho de que suelen estar cifradas, ofuscadas y en puertos estándares que no levantan sospechas, no el hecho en sí de que sean "inversas". En realidad, esto está asumido como estándar. La opción contraria, establecer una conexión desde fuera a la máquina infectada está descartado desde un primer momento en la mayoría de los escenarios y es una opción que los atacantes serios ni siquiera contemplarían. En este punto hubiesen sido necesarios inspectores de tráfico e IDS, aunque es cierto que el nivel de éxito de esta medida podría ser menor si los atacantes realmente se lo proponen.
Según la RSA, el ataque fue detectado por su Computer Incident Response Team mientras se estaba produciendo. Insiste en que, en muchos otros casos, el ataque se desarrolla durante meses antes de ser detectado. Sin embargo, los atacantes tuvieron tiempo de hacerse una idea de la red interna y buscar usuarios con más privilegios que los infectados inicialmente. Llegaron a comprometer cuentas de administrador.
El atacante más tarde transfirió muchos ficheros RAR protegidos por contraseña desde el servidor de la RSA hacia un tercero externo y comprometido. Descargó la información, la borró de ese servidor... y se quedó con ella.
RSA sigue sin aclarar qué fue lo robado exactamente, aunque explica bien cómo funcionó el ATP y, extrayendo la información adecuada de su mensaje, podría servir como experiencia en la que apoyarse para prevenir incidentes futuros.
Conclusiones
Nos podemos dar cuenta que por mucha seguridad que se tenga en la empresa, siempre hay un punto débil por donde uno puede atacar, solo se necesita saber y conocer los medios de una manera muy concreta y especifica, porque las debilidades suelen ser estudiadas detalladamente por los atacantes.
debemos tener demasiado cuidado con los tipos de ataques, en este caso entraron al servidor por medio de unos correos que abrieron y ejecutaron los empleados, por tal motivo la información fue robada de manera remota a través de la ejecución de programas que permitían controlar los equipos y hacer lo que quisieran con ellos, y esto sin darse cuenta puesto que manejaban los equipos de los trabajadores, hasta después de un buen rato que se dieron cuenta del ataque que recibieron y la perdida de información que recibieron.
con este tipo de ataques que realizan y ven donde se encuentran las vulnerabilidades dle sistema, es grandioso saberlo, puesto que ayuda a mejorar el sistema de proteccion para ataques futuros, eso siempre va pasar puesto que los sistemas no siempre son totalmente seguros y poco a poco se van descubriendo las vulnerabilidades con el paso del tiempo y los ataques que se reciben.
Referencias
http://unaaldia.hispasec.com/2011/04/el-ataque-la-rsa-se-produjo-traves-de.html
http://hacking.mx/noticias/atacan-a-rsa-security/
No hay comentarios:
Publicar un comentario