Sobre el ataque a RSA y Lockheed Martin

Este año está siendo movidito en lo que a incidentes graves de seguridad se refiere. Hemos tenido Wikileaks, ataques de denegación de servicio por doquier (Mastercard, VISA, partídos políticos, etc.), el gusano Stuxnet dañando el programa nuclear iraní, el ataque y posterior “puteo” a HBGary, el ataque a la Sony Playstation Network, ataques a instituciones del estado francés, etc.

Por un lado, muchas categorías de ataques se vuelven “fáciles” y al alcance de casi cualquiera, como pueden ser los ataques de denegación de servicio. Por otro lado, creo que ahora se informa de los ataques más que antes (las empresas ahora están obligadas, en muchos paises, a informar de los ataques que sufren, especialmente si se sospecha que datos personales pueden haber sido extraidos). Y por otro lado, algunos de los ataques empiezan a ser muy sofisticados, posiblemente con financiación (pública o privada) y recursos al alcance de pocos. Por poner un ejemplo de ataque sofisticado, con recursos y bien planificado:


Primero hackeas RSA (una de las empresas líderes del mundo en temas de seguridad):

• Envías un email a directivos de la empresa (puedes averiguar los nombres y emails en cualquier directorio o en LinkedIn) con subject “2011 Recruitment Plan.”
• El email contiene un fichero Excel (“2011 Recruitment Plan.xls”) que contiene un exploit 0-day (desconocido hasta el momento) que utiliza una vulnerabilidad de Adobe Flash (CVE-2011-0609) para instalar una puerta trasera en los equipos de los “incautos” que lo han abierto.
• Los atacantes, a través de la puerta trasera, instalan una herramienta de control remoto (una variante de Poison Ivy).
• Durante un largo periodo de tiempo, los atacantes van accediendo a servidores de la empresa y van robando datos de interés.
• Finalmente se hacen con las “joyas de la corona” de RSA, los ficheros “semilla” para los tokens de One-Time Password que RSA comercializa.

Esto último es importante y grave. Ya he hablado en este blog de los tokens OTP. Los tokens OTP generan un número pseudoaleatorio (pero con secuencia determinista) y permiten ser un complemento al tradicional método de usuario-y-contraseña, aportando una parte de la contraseña que cambia cada 60 segundos. Para poder acceder a un sistema protegido con este método, el usuario debe conocer su contraseña y tener el token OTP a mano (no vale con saber la contraseña). El robo de los ficheros “semilla” permite clonar tokens OTP.

Luego hackeas Lockheed Martin (contractor del Departamento de Defensa de EEUU, fabricante de aviones, misiles, y muchas cosas más):

• Se clonan tokens OTP de RSA con las “semillas” robadas.
• Además para que el ataque funcione es necesario hacerse con nombres de usuario, su PIN, y qué token (identificado por su número de serie) corresponde a qué usuario.
• Entras en la red víctima de forma remota usando su servicio de VPN (para los que trabajan desde casa) y las credenciales robadas.

Es verdad que el paso intermedio de conseguir los nombres de usuario, los PINes, y la asociación entre usuario y token es complicada. Por lo que me imagino que habrá un trabajo previo de investigación, ingeniería social, etc. para averiguar esta información. Desconozco cómo lo harán en Lockheed Martin, pero yo he trabajado en varios sitios donde el token OTP tiene pegado una etiqueta con el nombre de usuario (cualquiera puede hacer una foto al token desde lejos y tener así el usuario y el número de serie del token), y el PIN suele ser de 4 dígitos. En muchos sitios ni siquiera el usuario puede cambiar el PIN.
 Conclusiones que se pueden extraer:

• Los troyanos hechos a medida para un número muy reducido de víctimas, tardan mucho en aparecer en los ficheros de firmas de las empresas antivirus, ya que no existen suficientes copias por el mundo como para que alguien lo detecte por casualidad. Tecnologías basadas en la reputación de los ficheros o en whitelisting son el único camino.
• RSA fabrica soluciones de seguridad, de monitorización, de correlación de eventos, de antivirus, y muchas cosas más. Me imagino que utilizarán sus propias soluciones internamente. Y no les ha servido de nada. Porque alguien ha abierto un fichero que no debería haber abierto.
• Alguien abre un adjunto malicioso en una parte del mundo, y varias semanas después tu empresa es el hazmerreir del mercado, pierdes millones de dólares en gestionar la crisis y compensar a tus clientes, y encima uno de tus principales clientes (con unos requisitos de seguridad que no tiene nadie en el mundo) es hackeado por tu culpa.
• La seguridad de la información es difícil. No hay productos mágicos que te resuelvan la papeleta. Hace falta conocer muy bien tu entorno, a tus usuarios, sus necesidades (sobre todo lo que NO necesitan), y tener muy claro qué es normal y qué es anómalo, y tener mecanismos para detectarlo.
• Las conexiones salientes de Poison Ivy, en la red de RSA, deberían haber sido detectadas por cualquier IDS que se precie. Por cualquiera. Cualquier producto de “endpoint security” decente hubiera detectado y bloqueado las conexiones salientes.
• El producto de RSA de monitorización y correlación de eventos (Envision) debería haberlo detectado y generado un incidente.
• ¿Por qué las “semillas” de los tokens no estaba cifrada y/o almacenada en un HSM (Hardware Security Module) que las proteja y que sea tamper-proof? Existen muchos en el mercado, y no cuestan más que unos miles de dólares. ¿Calculamos el ROI?

Hay muchas empresas corriendo para adaptar sus sistemas, redes, procesos, etc. para que los directivos de las mismas puedan “trabajar” con juguetes como el iPad o similar, “necesitando” conectarse desde cualquier parte del mundo. Dejando de lado la cuestión de si alguien, de verdad, necesita estas cosas para desempeñar su trabajo, creo que el panorama se va a complicar enormenente en el futuro próximo.
Ya se que es fácil dar consejos a toro pasado, y que aún siguiendo todas las buenas prácticas, no estás a salvo, pero por lo menos haz un mínimo…

Fuente: Alfredo Reino

Suscríbete a nuestro Boletín