viernes, 13 de abril de 2012


RSA explica cómo infiltraron sus sistemas

La empresa de seguridad RSA Security al fin ha roto el silencio y ha publicado los detalles del ataque informático que sufrió el a principios del año pasado.

En su entrada del blog titulada “Anatomía de un ataque”, disponible en http://blogs.rsa.com/rivner/anatomy-of-an-attack/ la empresa explicó que el ataque había sido “extremadamente sofisticado”, pero en realidad fue un típico caso de ingeniería social en el que se explotó la vulnerabilidad humana para poder irrumpir en el sistema de su víctima. El ataque a la RSA se produjo a través de un 0 day en Flash

Cómo empezó

Según la RSA, los atacantes enviaron grupos de correos electrónicos fraudulentos a dos pequeños sectores de la empresa en el transcurso de dos días. Los mensajes fueron directo al buzón de spam de los destinatarios pero, aun así, el asunto, ”2011 Recruitment plan”, capturó la atención de uno de los empleados que recuperó el correo y lo abrió.

El correo contenía un archivo adjunto de Excel con el mismo nombre "2011 Recruitment plan.xls". El documento tenía incrustado un video diseñado para ayudar a explotar una vulnerabilidad en Adobe Flash que ya ha sido parchada (CVE-2011-0609).

De esto se deduce que, aunque RSA hubiera mantenido todo su software actualizado, el atacante hubiese igualmente conseguido ejecutar código. En estos casos, es en los que se echa de menos el uso de herramientas como DEP o ASLR o cualquier otro software que prevenga los desbordamientos de memoria. Es irrelevante el uso de Office, LibreOffice o Flash... si los atacantes han tenido acceso a un 0 day en Flash... podrían haberlo conseguido de cualquier otro programa.

Una vez dentro

Esto permitió a los atacantes instalar el programa troyano Poison Ivy (herramienta de administración remota) en el ordenador de su víctima y crearon una conexión inversa hacia un servidor propio del atacante para ir aumentando sus privilegios hasta poder controlar el sistema por completo.

Lo que hace difícil de detectar estas conexiones es el hecho de que suelen estar cifradas, ofuscadas y en puertos estándares que no levantan sospechas. RSA detectó el ataque mientras se llevaba a cabo, pero aun así los intrusos tuvieron tiempo de robar información de la empresa. “El atacante (…) ingresó a los servidores de su interés, eliminó algunos datos y los trasladó a servidores temporales donde los comprimió y codificó para extraerlos”.

Llegaron a comprometer cuentas de administrador

“Después, el atacante utilizó FTP para transferir muchos archivos RAR protegidos por contraseñas del servidor de archivos a un servidor temporal y después a un ordenador externo y comprometido en un proveedor de alojamiento. El atacante tomó los archivos y los eliminó del equipo externo comprometido para eliminar los rastros del ataque”.

RSA Security todavía no ha divulgado qué tipo de información está comprometida ni cuál es la magnitud de los daños. Sólo confesó que había sufrido un ataque dirigido en el que le robaron información relativa a su famoso producto SecurID.


Referencias:

http://unaaldia.hispasec.com/2011/04/el-ataque-la-rsa-se-produjo-traves-de.html
http://www.viruslist.com/sp/news?id=208274747


Opinión personal

Esto confirma el hecho de que mientras el factor humano intervenga, siempre existirán las debilidades humanas. Aun cuando se tenga el mejor sistema de seguridad (el cual nunca es 100% seguro), siempre quedará expuesto si el usuario no comprende todos los riesgos y compromisos que implica. Por eso es importante siempre concientizar a los usuarios de modo que en ellos se forme la cultura de la seguridad, de la prudencia y del compromiso, de otro modo seguiremos combatiendo en una batalla en la que nuestros mismos soldados por ignorancia o por negligencia se dejan vencer.




Publicado por en No hay comentarios:
Suscribirse a: Entradas (Atom)