14 feb 2013

Análisis del ciberataque a Bit9

Si las firmas de seguridad IT son blanco, el resto de las organizaciones con más razón. Arrancamos 2013 con los ya famosos hackeos a medios de comunicación estadounidense Washington Post, The Wall Street Journal, The New York Times. ¡Ah! Por poco olvido el ataque al Departamento de Energía de Estados Unidos y las más de 250,000 cuentas de Twitter comprometidas, como reflejo de la vulnerabilidad en Java que Oracle decidió corregir justo esta semana.

La semana pasada le tocó a Bit9, aunque el proveedor ya liberó una actualización para corregir la vulnerabilidad, nos enteramos de que la empresa —ampliamente reconocida en el mercado por su solución de “Listas Blancas de aplicaciones”— fue comprometida y la brecha fue aprovechada para distribuir malware con al menos tres de sus clientes (entre los que están firmas minoristas, bancos, agencias federales y de seguridad nacional y energía).

Uno de los primeros en reportarlo fue el famoso Brian Krebs, a través de su conocido blog KrebsonSecurity, quien ventiló que la red corporativa de Bit9 había sido objeto de un ciberataque y que el mismo proveedor ya había recibido reportes de algunos de sus clientes que aseguraban haber detectado códigos maliciosos dentro de las redes protegidas por la solución de Bit9. Al estar comprometida la aplicación, el malware era aprobado como aplicación legítima por el sistema.

Las soluciones de listas blancas de aplicaciones, tienen como objetivo impedir que código no autorizado (fuera de esa lista) se ejecute dentro de un sistema (incluyendo al malware por supuesto) y que únicamente las aplicaciones confiables y permitidas sean empleadas por el usuario final.

De esta forma, el programa crea un modelo de confianza en el que únicamente determinados “entes o usuarios” están autorizados para realizar cambios o alterar la integridad de los equipos de cómputo. El proceso normalmente es definido mediante una política centralizada que se aplica a todos los sistemas. Precisamente, el resultado de la intrusión a Bit9 consistió en que una política de este tipo y aplicada a un equipo, confiará ciegamente en las aplicaciones y ejecutará cualquier “programa” que viniera firmado por el mismo Bit9, sin importar si se tratará malware.

Previo a corregir el ataque, el proveedor de seguridad publicó en su sitio Web lo siguiente:

"Debido a un error operativo dentro de Bit9, hemos fallado en el instalar nuestro propio producto dentro de un grupo de equipos como parte de nuestra red. Como resultado, un tercero malicioso fue capaz de obtener ilegalmente el acceso temporal a uno de nuestros certificados digitales para firmar código y que entonces fueron usados para autorizar ilegítimamente malware. No hay señal de que esto fuera el resultado de un problema con nuestro producto e igualmente nuestra investigación muestra que el mismo no fue comprometido. Simplemente no seguimos las mejores prácticas que nosotros mismos recomendamos a nuestros clientes, asegurándonos que de nuestro producto estuviera en todos los servidores físicos y virtuales dentro de Bit9."

El mismo CTO de la compañía Harry Sverdlove, publicó en su blog corporativo que Bit9 pronto publicará más información a clientes, medios y expertos sobre cómo y por qué ocurrió el ataque.

A la espera de que la firma nos entregue un poco más de información para entender la forma de operar del ataque, me permito compartir algunas “descabelladas” ideas alrededor del incidente.
  • Una vez dentro de la red de Bit9, los criminales encontraron los certificados digitales que se utilizan para actualizar la lista blanca empleada en su solución.
  • La importancia del hecho por un lado radica, en que cualquier tipo de malware firmado por este “certificado” se confió automáticamente dentro de la política que Bit9 utiliza.
  • Si la red corporativa de Bit9 ya fue comprometida, no quiere esto decir que los servidores que alojan los checksums de confianza de las listas blancas en la nube del fabricante podrían ser el objeto de un ataque en el futuro y que se pudieran "reconocer" binarios maliciosos como "confiables" más adelante de manera masiva. Es decir, ¿qué la lista blanca se haya quedado "sucia"?
  • ¿Qué tipo de malware es el que se "dispersó" como un aplicativo confiable a través de esa política a sus clientes y que pudiera dejar puertas abiertas para ataques subsecuentes (entendiendo el tipo de clientes “high-profile” que maneja Bit9)? Muy posiblemente los clientes tengan que recurrir a soluciones de detección de anomalías para estar al pendiente de su red y en específico de los nodos confirmados con la infección.
  • ¿Bit9 fue únicamente el medio para llegar a alguna de las 1.000 organizaciones que tiene el fabricante como cliente?
Por Juan Carlos Vázquez

Fuente: bSecure

Suscríbete a nuestro Boletín

0 Comments:

Publicar un comentario

Gracias por dejar un comentario en Segu-Info.

Gracias por comentar!