RSA explica cómo
infiltraron sus sistemas
La empresa de seguridad
RSA Security al fin ha roto el silencio y ha publicado los detalles del ataque
informático que sufrió el a principios del año pasado.
En su entrada del blog
titulada “Anatomía de un ataque”, disponible en http://blogs.rsa.com/rivner/anatomy-of-an-attack/ la empresa explicó que el ataque había sido “extremadamente
sofisticado”, pero en realidad fue un típico caso de ingeniería social en el
que se explotó la vulnerabilidad humana para poder irrumpir en el sistema de su
víctima. El ataque a la RSA se produjo a través de un 0 day en Flash
Cómo empezó
Según la RSA, los atacantes enviaron grupos de correos electrónicos fraudulentos a dos pequeños sectores de la empresa en el transcurso de dos días. Los mensajes fueron directo al buzón de spam de los destinatarios pero, aun así, el asunto, ”2011 Recruitment plan”, capturó la atención de uno de los empleados que recuperó el correo y lo abrió.
El correo contenía un
archivo adjunto de Excel con el mismo nombre "2011 Recruitment
plan.xls". El documento tenía incrustado un video diseñado para ayudar a
explotar una vulnerabilidad en Adobe Flash que ya ha sido parchada
(CVE-2011-0609).
De esto se deduce que, aunque RSA hubiera mantenido todo su software
actualizado, el atacante hubiese igualmente conseguido ejecutar código. En
estos casos, es en los que se echa de menos el uso de herramientas como DEP o
ASLR o cualquier otro software que prevenga los desbordamientos de memoria. Es
irrelevante el uso de Office, LibreOffice o Flash... si los atacantes han
tenido acceso a un 0 day en Flash... podrían haberlo conseguido de cualquier
otro programa.
Una vez dentro
Una vez dentro
Esto permitió a los atacantes instalar el programa troyano Poison Ivy (herramienta de administración remota) en el ordenador de su víctima y crearon una conexión inversa hacia un servidor propio del atacante para ir aumentando sus privilegios hasta poder controlar el sistema por completo.
Lo que hace difícil de detectar estas conexiones es
el hecho de que suelen estar cifradas, ofuscadas y en puertos estándares que no
levantan sospechas. RSA detectó el
ataque mientras se llevaba a cabo, pero aun así los intrusos tuvieron tiempo de
robar información de la empresa. “El atacante (…) ingresó a los servidores de
su interés, eliminó algunos datos y los trasladó a servidores temporales donde
los comprimió y codificó para extraerlos”.
Llegaron a comprometer cuentas de administrador
“Después, el atacante utilizó FTP para transferir muchos archivos RAR protegidos por contraseñas del servidor de archivos a un servidor temporal y después a un ordenador externo y comprometido en un proveedor de alojamiento. El atacante tomó los archivos y los eliminó del equipo externo comprometido para eliminar los rastros del ataque”.
RSA Security todavía no
ha divulgado qué tipo de información está comprometida ni cuál es la magnitud
de los daños. Sólo confesó que había sufrido un ataque dirigido en el que le robaron
información relativa a su famoso producto SecurID.
Referencias:
http://unaaldia.hispasec.com/2011/04/el-ataque-la-rsa-se-produjo-traves-de.html
http://www.viruslist.com/sp/news?id=208274747
Opinión personal
Esto confirma el hecho de que mientras el factor humano intervenga,
siempre existirán las debilidades humanas. Aun cuando se tenga el mejor sistema
de seguridad (el cual nunca es 100% seguro), siempre quedará expuesto si el
usuario no comprende todos los riesgos y compromisos que implica. Por eso es
importante siempre concientizar a los usuarios de modo que en ellos se forme la
cultura de la seguridad, de la prudencia y del compromiso, de otro modo
seguiremos combatiendo en una batalla en la que nuestros mismos soldados por
ignorancia o por negligencia se dejan vencer.
No hay comentarios:
Publicar un comentario