Portada
mis comunidades
otras secciones
![Finalmente se puede contar la historia completa del impresionante hackeo a RSA [EN]](https://cdn.mnmstatic.net/cache/35/7f/media_thumb_2x-link-3506067.jpeg?1621593366)
#1:
Nota: Se refiere a la empresa RSA, no al algoritmo de cifrado RSA.
#42:
#6 #7
Entre todas las horas de insomnio que Todd Leetham pasó cazando fantasmas dentro de la red de su empresa a principios de 2011, la experiencia que más se le queda grabada todos estos años es el momento en que los alcanzó. O casi lo hizo.
Fue una tarde de primavera, dice, tres días -quizás cuatro, el tiempo se había vuelto borroso- después de que empezara a seguir a los hackers que estaban hurgando en los sistemas informáticos de RSA, el gigante de la seguridad corporativa donde trabajaba. Leetham -un analista calvo, barbudo y cascarrabias al que un compañero de trabajo describió como una "máquina de encontrar hackers basada en el carbono"- había estado pegado a su ordenador portátil junto con el resto del equipo de respuesta a incidentes de la empresa, reunido en torno al centro de operaciones de la compañía, que se encontraba en un lugar acristalado, en una cacería ininterrumpida las 24 horas del día. Y con una creciente sensación de temor, Leetham finalmente había rastreado las huellas de los intrusos hasta sus objetivos finales: las claves secretas conocidas como "semillas", una colección de números que representaban una capa fundamental de las promesas de seguridad que RSA hacía a sus clientes, incluyendo decenas de millones de usuarios en agencias gubernamentales y militares, contratistas de defensa, bancos e innumerables corporaciones de todo el mundo.
RSA guardaba esas semillas en un único servidor bien protegido, al que la empresa llamaba "almacén de semillas". Servían como un ingrediente crucial en uno de los productos principales de RSA: Los tokens SecurID, unos pequeños llaveros que se llevan en el bolsillo y se sacan para demostrar la identidad introduciendo los códigos de seis dígitos que se actualizan constantemente en la pantalla del llavero. Si alguien pudiera robar los valores semilla almacenados en ese depósito, podría clonar esos tokens SecurID y romper silenciosamente la autenticación de dos factores que ofrecían, permitiendo a los hackers saltarse instantáneamente ese sistema de seguridad en cualquier parte del mundo, accediendo a cualquier cosa, desde cuentas bancarias hasta secretos de seguridad nacional.
Ahora, mirando los registros de la red en su pantalla, a Leetham le parecía que esas llaves del reino global de RSA ya habían sido robadas.
Leetham vio con consternación que los hackers habían pasado nueve horas desviando metódicamente las semillas del servidor del almacén y enviándolas a través del protocolo de transferencia de archivos a un servidor hackeado alojado en Rackspace, un proveedor de alojamiento en la nube. Pero entonces descubrió algo que le dio un destello de esperanza: Los registros incluían el nombre de usuario y la contraseña robados de ese servidor hackeado. Los ladrones habían dejado su escondite al descubierto, a la vista de todos. Leetham se conectó a la lejana máquina de Rackspace y tecleó las credenciales robadas. Y ahí estaba: El directorio del servidor aún contenía toda la colección de semillas robadas como un archivo .rar comprimido.
Utilizar las credenciales pirateadas para entrar en un servidor que pertenece a otra empresa y manipular los datos almacenados en él es, según admite Leetham, un movimiento poco ortodoxo en el mejor de los casos, y una violación de las leyes de piratería informática de Estados Unidos en el peor. Pero al ver los datos más sagrados de RSA robados en ese servidor de Rackspace, no dudó. "Iba a aguantar el tirón", dice. "De cualquier manera, estoy salvando nuestra mierda". Tecleó el comando para borrar el archivo y pulsó enter.
Momentos más tarde, la línea de comandos de su ordenador volvió con una respuesta: "Archivo no encontrado". Volvió a examinar el contenido del servidor de Rackspace. Estaba vacío. El corazón de Leetham se desplomó: Los hackers habían sacado la base de datos de semillas del servidor segundos antes de que él pudiera borrarla.
Después de perseguir a estos ladrones de datos día y noche, les había "dado un golpe en la chaqueta cuando salían corriendo por la puerta", como dice hoy. Se le habían escapado de las manos, y se habían ido al éter con la información más preciada de su empresa. Y aunque Leetham aún no lo sabía, esos secretos estaban ahora en manos del ejército chino.
La brecha de seguridad de RSA, cuando se hizo pública días después, redefiniría el panorama de la ciberseguridad. La pesadilla de la compañía fue una llamada de atención no sólo para la industria de la seguridad de la información -el peor hackeo de una empresa de ciberseguridad hasta la fecha-, sino también una advertencia para el resto del mundo. Timo Hirvonen, investigador de la empresa de seguridad F-Secure, que publicó un análisis externo de la brecha, lo consideró una demostración inquietante de la creciente amenaza que supone una nueva clase de hackers patrocinados por el Estado. "Si una empresa de seguridad como RSA no puede protegerse a sí misma", recuerda Hirvonen que pensó entonces, "¿cómo puede hacerlo el resto del mundo?".
La pregunta era bastante literal. El robo de los valores de las semillas de la compañía significaba que se había eliminado una salvaguarda crítica de las redes de miles de sus clientes. Los tokens SecurID de RSA se diseñaron para que las instituciones, desde los bancos hasta el Pentágono, pudieran exigir a sus empleados y clientes una segunda forma de autenticación más allá de un nombre de usuario y una contraseña: algo físico en su bolsillo que pudiera demostrar que lo poseían, y así probar su identidad. Sólo después de teclear el código que aparecía en su token SecurID (un código que solía cambiar cada 60 segundos) podían acceder a su cuenta.
Las semillas de SecurID que RSA generaba y distribuía cuidadosamente a sus clientes permitían a los administradores de red de esos clientes configurar servidores que podían generar los mismos códigos, y luego comprobar los que los usuarios introducían en las solicitudes de acceso para ver si eran correctos. Ahora, tras robar esas semillas, sofisticados ciberespías disponían de las claves para generar esos códigos sin los tokens físicos, abriendo una vía de acceso a cualquier cuenta cuyo nombre de usuario o contraseña fuera adivinable, ya hubiera sido robada o se hubiera reutilizado desde otra cuenta comprometida. RSA había añadido un candado adicional y único a millones de puertas en Internet, y estos hackers ahora conocían potencialmente la combinación de cada una de ellas.
El pasado mes de diciembre, cuando se hizo público que la empresa SolarWinds había sido hackeada por espías rusos, el mundo se despertó con la idea de un "ataque a la cadena de suministro": una técnica en la que un adversario compromete un punto de vulnerabilidad en un proveedor de software o hardware situado aguas arriba -y fuera de la vista- de su objetivo, un punto ciego en la visión de la víctima de sus riesgos de ciberseguridad. Los agentes del Kremlin que hackearon SolarWinds ocultaron el código de espionaje en una herramienta de gestión de TI llamada Orion, utilizada por nada menos que 18.000 empresas e instituciones de todo el mundo.
Utilizando el compromiso de la cadena de suministro de SolarWinds, la agencia de inteligencia extranjera de Rusia, conocida como el SVR, penetró profundamente en al menos nueve agencias federales de Estados Unidos, incluyendo el Departamento de Estado, el Tesoro de Estados Unidos, el Departamento de Justicia y la NASA. En otro ataque a la cadena de suministro que conmocionó al mundo unos años antes, la agencia de inteligencia militar rusa, conocida como GRU, secuestró una pieza de un oscuro software de contabilidad ucraniano para impulsar un gusano destructor de datos conocido como NotPetya, infligiendo 10.000 millones de dólares en daños en todo el mundo en el peor ciberataque de la historia.
Sin embargo, para aquellos con una memoria más larga, la brecha de RSA fue el ataque masivo original a la cadena de suministro. Los ciberespías estatales -que más tarde se reveló que trabajaban al servicio del Ejército Popular de Liberación de China- penetraron en la infraestructura de la que se depende en todo el mundo para proteger Internet. Y al hacerlo, tiraron de la manta bajo el modelo de seguridad digital de todo el mundo. "Me abrió los ojos a los ataques a la cadena de suministro", dice Mikko Hypponen, director de investigación de F-Secure, que trabajó con Hirvonen en el análisis de la empresa sobre la violación de RSA. "Cambió mi visión del mundo: el hecho de que, si no puedes entrar en tu objetivo, encuentras la tecnología que utilizan y entras ahí en su lugar".
En la década siguiente, muchos ejecutivos clave de RSA implicados en el incumplimiento de la empresa han guardado silencio, obligados por acuerdos de no divulgación de 10 años. Ahora esos acuerdos han expirado, lo que les permite contarme sus historias con nuevos detalles. Sus relatos reflejan la experiencia de ser objetivo de sofisticados piratas informáticos estatales que, de forma paciente y persistente, atacan a sus objetivos de red más valiosos a escala mundial, donde el adversario a veces entiende las interdependencias de los sistemas de sus víctimas mejor que las propias víctimas, y está dispuesto a explotar esas relaciones ocultas.
Después de 10 años de piratería informática patrocinada por el Estado y de secuestros de la cadena de suministro, la brecha de RSA puede considerarse ahora como el heraldo de nuestra actual era de inseguridad digital, y una lección sobre cómo un adversario decidido puede socavar las cosas en las que más confiamos.
EL 8 DE MARZO DE 2011, un frío día de finales de invierno, Todd Leetham terminó de fumar y volvía a la sede de RSA en Bedford, Massachusetts -un par de edificios conectados al borde de un bosque en los suburbios de Boston- cuando un administrador de sistemas le apartó y le pidió que echara un vistazo a algo extraño.
Entre todas las horas de insomnio que Todd Leetham pasó cazando fantasmas dentro de la red de su empresa a principios de 2011, la experiencia que más se le queda grabada todos estos años es el momento en que los alcanzó. O casi lo hizo.
Fue una tarde de primavera, dice, tres días -quizás cuatro, el tiempo se había vuelto borroso- después de que empezara a seguir a los hackers que estaban hurgando en los sistemas informáticos de RSA, el gigante de la seguridad corporativa donde trabajaba. Leetham -un analista calvo, barbudo y cascarrabias al que un compañero de trabajo describió como una "máquina de encontrar hackers basada en el carbono"- había estado pegado a su ordenador portátil junto con el resto del equipo de respuesta a incidentes de la empresa, reunido en torno al centro de operaciones de la compañía, que se encontraba en un lugar acristalado, en una cacería ininterrumpida las 24 horas del día. Y con una creciente sensación de temor, Leetham finalmente había rastreado las huellas de los intrusos hasta sus objetivos finales: las claves secretas conocidas como "semillas", una colección de números que representaban una capa fundamental de las promesas de seguridad que RSA hacía a sus clientes, incluyendo decenas de millones de usuarios en agencias gubernamentales y militares, contratistas de defensa, bancos e innumerables corporaciones de todo el mundo.
RSA guardaba esas semillas en un único servidor bien protegido, al que la empresa llamaba "almacén de semillas". Servían como un ingrediente crucial en uno de los productos principales de RSA: Los tokens SecurID, unos pequeños llaveros que se llevan en el bolsillo y se sacan para demostrar la identidad introduciendo los códigos de seis dígitos que se actualizan constantemente en la pantalla del llavero. Si alguien pudiera robar los valores semilla almacenados en ese depósito, podría clonar esos tokens SecurID y romper silenciosamente la autenticación de dos factores que ofrecían, permitiendo a los hackers saltarse instantáneamente ese sistema de seguridad en cualquier parte del mundo, accediendo a cualquier cosa, desde cuentas bancarias hasta secretos de seguridad nacional.
Ahora, mirando los registros de la red en su pantalla, a Leetham le parecía que esas llaves del reino global de RSA ya habían sido robadas.
Leetham vio con consternación que los hackers habían pasado nueve horas desviando metódicamente las semillas del servidor del almacén y enviándolas a través del protocolo de transferencia de archivos a un servidor hackeado alojado en Rackspace, un proveedor de alojamiento en la nube. Pero entonces descubrió algo que le dio un destello de esperanza: Los registros incluían el nombre de usuario y la contraseña robados de ese servidor hackeado. Los ladrones habían dejado su escondite al descubierto, a la vista de todos. Leetham se conectó a la lejana máquina de Rackspace y tecleó las credenciales robadas. Y ahí estaba: El directorio del servidor aún contenía toda la colección de semillas robadas como un archivo .rar comprimido.
Utilizar las credenciales pirateadas para entrar en un servidor que pertenece a otra empresa y manipular los datos almacenados en él es, según admite Leetham, un movimiento poco ortodoxo en el mejor de los casos, y una violación de las leyes de piratería informática de Estados Unidos en el peor. Pero al ver los datos más sagrados de RSA robados en ese servidor de Rackspace, no dudó. "Iba a aguantar el tirón", dice. "De cualquier manera, estoy salvando nuestra mierda". Tecleó el comando para borrar el archivo y pulsó enter.
Momentos más tarde, la línea de comandos de su ordenador volvió con una respuesta: "Archivo no encontrado". Volvió a examinar el contenido del servidor de Rackspace. Estaba vacío. El corazón de Leetham se desplomó: Los hackers habían sacado la base de datos de semillas del servidor segundos antes de que él pudiera borrarla.
Después de perseguir a estos ladrones de datos día y noche, les había "dado un golpe en la chaqueta cuando salían corriendo por la puerta", como dice hoy. Se le habían escapado de las manos, y se habían ido al éter con la información más preciada de su empresa. Y aunque Leetham aún no lo sabía, esos secretos estaban ahora en manos del ejército chino.
La brecha de seguridad de RSA, cuando se hizo pública días después, redefiniría el panorama de la ciberseguridad. La pesadilla de la compañía fue una llamada de atención no sólo para la industria de la seguridad de la información -el peor hackeo de una empresa de ciberseguridad hasta la fecha-, sino también una advertencia para el resto del mundo. Timo Hirvonen, investigador de la empresa de seguridad F-Secure, que publicó un análisis externo de la brecha, lo consideró una demostración inquietante de la creciente amenaza que supone una nueva clase de hackers patrocinados por el Estado. "Si una empresa de seguridad como RSA no puede protegerse a sí misma", recuerda Hirvonen que pensó entonces, "¿cómo puede hacerlo el resto del mundo?".
La pregunta era bastante literal. El robo de los valores de las semillas de la compañía significaba que se había eliminado una salvaguarda crítica de las redes de miles de sus clientes. Los tokens SecurID de RSA se diseñaron para que las instituciones, desde los bancos hasta el Pentágono, pudieran exigir a sus empleados y clientes una segunda forma de autenticación más allá de un nombre de usuario y una contraseña: algo físico en su bolsillo que pudiera demostrar que lo poseían, y así probar su identidad. Sólo después de teclear el código que aparecía en su token SecurID (un código que solía cambiar cada 60 segundos) podían acceder a su cuenta.
Las semillas de SecurID que RSA generaba y distribuía cuidadosamente a sus clientes permitían a los administradores de red de esos clientes configurar servidores que podían generar los mismos códigos, y luego comprobar los que los usuarios introducían en las solicitudes de acceso para ver si eran correctos. Ahora, tras robar esas semillas, sofisticados ciberespías disponían de las claves para generar esos códigos sin los tokens físicos, abriendo una vía de acceso a cualquier cuenta cuyo nombre de usuario o contraseña fuera adivinable, ya hubiera sido robada o se hubiera reutilizado desde otra cuenta comprometida. RSA había añadido un candado adicional y único a millones de puertas en Internet, y estos hackers ahora conocían potencialmente la combinación de cada una de ellas.
El pasado mes de diciembre, cuando se hizo público que la empresa SolarWinds había sido hackeada por espías rusos, el mundo se despertó con la idea de un "ataque a la cadena de suministro": una técnica en la que un adversario compromete un punto de vulnerabilidad en un proveedor de software o hardware situado aguas arriba -y fuera de la vista- de su objetivo, un punto ciego en la visión de la víctima de sus riesgos de ciberseguridad. Los agentes del Kremlin que hackearon SolarWinds ocultaron el código de espionaje en una herramienta de gestión de TI llamada Orion, utilizada por nada menos que 18.000 empresas e instituciones de todo el mundo.
Utilizando el compromiso de la cadena de suministro de SolarWinds, la agencia de inteligencia extranjera de Rusia, conocida como el SVR, penetró profundamente en al menos nueve agencias federales de Estados Unidos, incluyendo el Departamento de Estado, el Tesoro de Estados Unidos, el Departamento de Justicia y la NASA. En otro ataque a la cadena de suministro que conmocionó al mundo unos años antes, la agencia de inteligencia militar rusa, conocida como GRU, secuestró una pieza de un oscuro software de contabilidad ucraniano para impulsar un gusano destructor de datos conocido como NotPetya, infligiendo 10.000 millones de dólares en daños en todo el mundo en el peor ciberataque de la historia.
Sin embargo, para aquellos con una memoria más larga, la brecha de RSA fue el ataque masivo original a la cadena de suministro. Los ciberespías estatales -que más tarde se reveló que trabajaban al servicio del Ejército Popular de Liberación de China- penetraron en la infraestructura de la que se depende en todo el mundo para proteger Internet. Y al hacerlo, tiraron de la manta bajo el modelo de seguridad digital de todo el mundo. "Me abrió los ojos a los ataques a la cadena de suministro", dice Mikko Hypponen, director de investigación de F-Secure, que trabajó con Hirvonen en el análisis de la empresa sobre la violación de RSA. "Cambió mi visión del mundo: el hecho de que, si no puedes entrar en tu objetivo, encuentras la tecnología que utilizan y entras ahí en su lugar".
En la década siguiente, muchos ejecutivos clave de RSA implicados en el incumplimiento de la empresa han guardado silencio, obligados por acuerdos de no divulgación de 10 años. Ahora esos acuerdos han expirado, lo que les permite contarme sus historias con nuevos detalles. Sus relatos reflejan la experiencia de ser objetivo de sofisticados piratas informáticos estatales que, de forma paciente y persistente, atacan a sus objetivos de red más valiosos a escala mundial, donde el adversario a veces entiende las interdependencias de los sistemas de sus víctimas mejor que las propias víctimas, y está dispuesto a explotar esas relaciones ocultas.
Después de 10 años de piratería informática patrocinada por el Estado y de secuestros de la cadena de suministro, la brecha de RSA puede considerarse ahora como el heraldo de nuestra actual era de inseguridad digital, y una lección sobre cómo un adversario decidido puede socavar las cosas en las que más confiamos.
EL 8 DE MARZO DE 2011, un frío día de finales de invierno, Todd Leetham terminó de fumar y volvía a la sede de RSA en Bedford, Massachusetts -un par de edificios conectados al borde de un bosque en los suburbios de Boston- cuando un administrador de sistemas le apartó y le pidió que echara un vistazo a algo extraño.
#18:
#6 #7 sabes los token esos que daban en los bancos y generan números cada X segundos?
Pues unos hackers militares chinos robaron el listado de todos los numeritos generados (más de 40 millones de ellos), de tal forma que podían acceder a cualquier sistema que usara esos tokens.
Lo que en principio no tenían era el listado de qué números pertenecían a qué empresas, pero resulta que una empresa tocha de armas/defensa fue atacada usando esos numeritos robados...
Pues unos hackers militares chinos robaron el listado de todos los numeritos generados (más de 40 millones de ellos), de tal forma que podían acceder a cualquier sistema que usara esos tokens.
Lo que en principio no tenían era el listado de qué números pertenecían a qué empresas, pero resulta que una empresa tocha de armas/defensa fue atacada usando esos numeritos robados...
#9:
#5 Yo me lo he leído entero, y me ha dejado muerto que tuvieran una máquina con los seeds conectada a la red. Soy yo, y tengo un tío todo el día p'arriba y p'abajo sacando datos a mano en CDs.
Que pueden pintarlo como quieran, que era indispensable para la gestión del cliente, etc. pero me extraña mucho que no hubiera una alternativa "manual", tratándose de un tema tan sensible.
Que pueden pintarlo como quieran, que era indispensable para la gestión del cliente, etc. pero me extraña mucho que no hubiera una alternativa "manual", tratándose de un tema tan sensible.
Comentarios
Nota: Se refiere a la empresa RSA, no al algoritmo de cifrado RSA.
#1 vale, ya me había empezado a preocupar de verdad.
#1 Hombre. robarles los seed para los SecureID, es practicamente lo mismo
#3 Yo me refiero al algoritmo de cifrado RSA, no hablo de ningún producto específico de la empresa RSA. Por ejemplo, si genero una clave RSA para usar con SSH (con "ssh-keygen -t rsa"), la seguridad de mi conexión SSH no depende de que hackeen o no a una empresa en particular.
#4 a ver RSA es una exponenciacion modular, o está mal implementado, o la generación de primos falla o no hay nada que hackear, me refiero a que no es algo hackeable, lo sera tal o cual implementación pero ya (hablo respecto al algoritmo RSA)
#1 Los huevos de corbata durante unos segundos.
#1 Mr Robot.
#8 "Airgap" literalmente "hueco de aire" o cómo lo puse yo, "15 cm de Aire" Es una forma de proteger un equipo, desconectandolo físicamente de la red/internet. De forma que necesitas que alguien físicamente acceda al equipo para poder usarlo.
#10 relacionado, este artículo habla de cómo se podrían extraer datos de sistemas air gapped a partir de los air tags de apple
https://positive.security/blog/send-my
Lo de que la mejor seguridad contra el hackeo son 15cm de aire... Es verdad.
#5 Puedes expandir?
#8 Entiendo que se refiere a tener un ordenador 100% asilado sin wifi, sin red, sin usbs...., 15cm de aire alrededor sin que nada lo toque. Creo haber oido una expresión parecida hace años de Kevin Mitnick pero ahora mismo no la encuentro
#5 Yo me lo he leído entero, y me ha dejado muerto que tuvieran una máquina con los seeds conectada a la red. Soy yo, y tengo un tío todo el día p'arriba y p'abajo sacando datos a mano en CDs.
Que pueden pintarlo como quieran, que era indispensable para la gestión del cliente, etc. pero me extraña mucho que no hubiera una alternativa "manual", tratándose de un tema tan sensible.
#9 Una tarrina de CDs "PRINCO" y la seguridad aumentaría exponencialmente.
#12 O nos iríamos directamente a la edad de piedra al no poder leer los datos después
#19 No expliques el chiste!
Que quiero hacer sentirse mayor y desgraciados a muchos meneantes.
#21 Para más seguridad podrían haber guardados las claves en disquetes de JUMP
#22 nada, mejor una libreta y todo en binario a mano
#21 De hecho no lo explican, pero la serie revolution se inicia por usar princos para guardar los codigos digitales de las maquinas
#19 Se supone que no es para backup, sino para sustituir la red entre la maquina que aloja los secretos, y los servidores que necesitan acceder puntualmente a alguno de estos secretos para restaurar información de los clientes.
Idealmente, después de copiar la información al servidor destino (que la debería usar un rato y borrarla immediatamente después), el CD tendría que acabar en una trituradora que lo reduzca a arenilla fina.
#23 Gracias por la aclaración , no soy ningún experto en criptográfia
En ese caso con los princo se ahorrarían la trituradora.
#12
#9 Me imagino que lo que propones no debe ser muy diferente a pedir que los bancos vuelvan a usar libros de papel en vez de guardar las transacciones en binario.
Supongo que eso retrasaría significativamente la velocidad de TODO lo que implique transacciones seguras. Si eres más lento que tu competidor, los clientes se van con tu competidor, por mucho que jures que tu sistema es más seguro.
#9 No solo eso: Según explica el artículo, esas claves salían del almacen sin cifrar, y se cifraban en el ordenador que recibia la respuesta a la petición. Hay que joderse: si necesitas un sistema parecido, como poco tienes que asegurar que la carga sale cifrada de tu almacen con una clave asimetrica (tipo... RSA, juas) de manera que sólo el cliente legítimo puede descifrarla.
Es alucinante: cualquiera que tenga... ya no conocimientos, sólo un poco de sentido común... se hecha las manos a la cabeza de ver cómo han trabajado en esa empresa.
Ya lo dicen: en casa del herrero...
#5 Una de mis máquinas la tengo así, es poco práctico pero me va bien para lo que yo quiero.
#45 si y no. No existen los números completamente aleatorios. Siempre hay una semilla (número) inicial a la que se aplica un algoritmo complejo. Si robas las semillas podrías saber cualquier número de la secuencia posterior.
El dispositivo del banco tiene 1 semilla y el banco tiene asociada tu cuenta al dispositivo y a esa semilla para poder comprobar que realmente tienes el dispositivo.
Ojo que a nivel "ciudadano" solo se me ocurre ese uso cotidiano, pero en realidad a nivel trabajador esos dispositivos (con otros formatos) se usan para autenticar trabajadores, accesos a equipos, etc.
Google authenticator usa algo similar (no sé si las semillas son suyas o se las compra a alguien)
Cada vez que leo algo parecido me doy cuenta de la ingenuidad y estupidez humana. Sabes que tienes al hacker dentro, lo estás viendo, y no se te ocurre pensar en desconectar ese servidor concreto que tiene los seeds. No digo desconectar toda la red y paralizar la empresa (a ver quien es el guapo que se atreve a eso por cuenta y riesgo) digo simplemente desconectar un servidor.
Entiendo que con la presión del momento de ir cerrando el paso al hacker no te viene a la mente la estructura completa de tu red y el riesgo de cada elemento, pero es un ejemplo de que lo urgente (cerrar el paso) no te debe desviar de lo importante (proteger la información valiosa).
“The only system which is truly secure is one which is switched off and unplugged locked in a titanium lined safe, buried in a concrete bunker, and is surrounded by nerve gas and very highly paid armed guards. Even then, I wouldn’t stake my life on it” – Gene Spafford
#20 exacto, no tiraron del cable, intentaron minimizar los daños, y salió mal.
Pero hay que pensar que eso pasó hace diez años (diez años de internet equivalen a 100 de historia)... Hoy por hoy, no solo tiran del cable, queman los servidores.
#27 No creo, a menos que esté presente el presidente de la empresa, o un CISO con cojones, el informático de turno no corta una conexión por sus huevos morenos (también depende de qué tipo sea tu empresa y negocio, pero en una tecnológica casi 100% que no).
#29 tal y como está el tema del ransomware... Vamos, primero disparas y luego preguntas, no esperas que el CISO, ni el CEO estén presentes ni te aprueben nada.
#29 Yo estoy al cargo de una infraestructura virtual que tenemos en un cloud, en el tienen las estaciones de trabajo 300 desarrolladores con datos "solo" de acceso restringidos. Te aseguro que, en el momento en que se sospecha de una conexión fraudulenta (cosa que pasa un par de veces al año), se cierran los gateways i listo. Lo que dice #40: se cierra y se pregunta.
#54 Pues estáis en sitios medianamente serios, con protocolos definidos, pero no es lo que yo he visto, y hablo tanto de empresas privadas como de administración pública (en hacienda no he estado, ahí puede que sea más serio).
#55 noooooo! Ya querría! Lo que ocurrió fué lo siguiente: me piden que haga una celda segura como prueba de concepto, y cuando esta lista y pregunto que a quien se la paso me dicen 'nada, vamos a usarla tal cual. Despliega.' Y acepte solo si podia poner los controles que yo quisiera (uno de ellos, el kill switch). Pero de seria...
#56 Jajajaja. Yo me he encontrado cosas que nunca creeríais, y en esos sitios las lágrimas no se pierden en la lluvia porque son diarias....
#29 Hay unos protocolos de seguridad que son los que más se llevan, y es que si el de seguridad ve algo así, el solo tira los cables sin necesidad de preguntarle a nadie.
Impresionante que estuviesen en tiempo real viendo y no pudiendo evitar el hackeo.
#13 bueno, sabían los cientos de credenciales robados que daban acceso a más credenciales. Cada vez que veían un uso chungo iban y desconectaba el equipo y cambiaban las credenciales, todo en tiempo real.
Sin saber realmente el alcance del ataque entiendo que no tiraron del cable gordo que desconecta toda conexión (algo que menciona hicieron al final cuando vieron qué de habían llevado).
El problema es que o limpias literalmente todos los equipos antes de volver a conectar el cable o vuelta a empezar...
#49 A las 7:00 de la mañana siguiente, el 17 de marzo, el jefe de ventas de RSA en Norteamérica, David Castignola, terminaba de hacer ejercicio temprano en la cinta de correr de su gimnasio local en Detroit. Cuando cogió el teléfono, vio que había perdido nada menos que 12 llamadas, todas de esa misma mañana, y todas del presidente de RSA, Tom Haiser. Los mensajes de voz de Haiser decían que la RSA estaba a punto de anunciar una importante brecha de seguridad. Tenía que estar en el edificio.
Unas horas y un vuelo de última hora después, Castignola corrió literalmente a la sede de RSA en Bedford y subió a la sala de conferencias del cuarto piso. Enseguida se dio cuenta de los rostros pálidos y demacrados de los empleados que llevaban más de una semana lidiando con la crisis. "Cada pequeño indicador que recibía era: Esto es peor de lo que puedo imaginar", recuerda Castignola.
Esa tarde, Coviello publicó una carta abierta a los clientes de RSA en el sitio web de la compañía. "Recientemente, nuestros sistemas de seguridad identificaron un ciberataque extremadamente sofisticado en progreso", decía la carta. "Aunque en este momento estamos seguros de que la información extraída no permite un ataque directo exitoso a ninguno de nuestros clientes de RSA SecurID, esta información podría utilizarse potencialmente para reducir la eficacia de una implementación actual de autenticación de dos factores como parte de un ataque más amplio", continuaba la carta, minimizando un poco la crisis.
En Bedford, Castignola recibió una sala de conferencias y la autoridad para pedir tantos voluntarios de la empresa como necesitara. Un grupo rotativo de casi 90 empleados comenzó el proceso de semanas de duración, día y noche, de organizar llamadas telefónicas individuales con cada cliente. Trabajaron a partir de un guión, guiando a los clientes a través de medidas de protección como añadir o alargar un número PIN como parte de sus inicios de sesión de SecurID, para hacerlos más difíciles de replicar para los hackers. Castignola recuerda que, cuando caminaba por los pasillos del edificio a las 10 de la noche, oía llamadas en los altavoces de todas las puertas cerradas. En muchos casos, los clientes gritaban. Castignola, Curry y Coviello hicieron cada uno cientos de esas llamadas; Curry empezó a bromear diciendo que su título era "jefe de disculpas".
Al mismo tiempo, la paranoia empezaba a apoderarse de la empresa. La primera noche tras el anuncio, Castignola recuerda que pasó por un armario de cableado y vio un número absurdo de personas saliendo de él, muchas más de las que imaginaba que podrían caber. "¿Quiénes son esas personas?", preguntó a otro ejecutivo cercano. "Es el gobierno", respondió vagamente el ejecutivo.
De hecho, cuando Castignola aterrizó en Massachusetts, tanto la NSA como el FBI habían sido llamados para ayudar en la investigación de la empresa, al igual que el contratista de defensa Northrop Grumman y la empresa de respuesta a incidentes Mandiant. (Casualmente, empleados de Mandiant ya habían estado en el lugar antes de la brecha, instalando equipos de sensores de seguridad en la red de RSA).
El personal de RSA comenzó a tomar medidas drásticas. Preocupados por la posibilidad de que su sistema telefónico estuviera en peligro, la empresa cambió de operador, pasando de los teléfonos de AT&T a los de Verizon. Los ejecutivos, que no se fiaban ni siquiera de los nuevos teléfonos, celebraban reuniones en persona y compartían copias en papel de los documentos. El FBI, temiendo un cómplice en las filas de RSA por el aparente nivel de conocimiento que los intrusos parecían tener de los sistemas de la empresa, empezó a hacer comprobaciones de antecedentes. "Me aseguré de que todos los miembros del equipo -no importaba quiénes eran, ni qué reputación tenían- fueran investigados, porque hay que estar seguros", dice Duane.
Las ventanas de los despachos de algunos ejecutivos y de las salas de conferencias se cubrieron con capas de papel de carnicería, para evitar la vigilancia con micrófonos láser -una técnica de escucha a larga distancia que capta las conversaciones a partir de las vibraciones de los cristales de las ventanas- por parte de supuestos espías en los bosques de los alrededores. El edificio fue barrido en busca de micrófonos. Varios ejecutivos insistieron en que encontraron dispositivos de escucha ocultos, aunque algunos eran tan viejos que sus baterías estaban agotadas. Nunca quedó claro si esos micrófonos tenían alguna relación con la brecha.
Mientras tanto, el equipo de seguridad de RSA y los investigadores contratados para ayudar estaban "desmontando la casa hasta los cimientos", como dice Curry. En cada parte de la red que los piratas informáticos tocaron, dice, limpiaron el contenido de las máquinas potencialmente comprometidas, e incluso las adyacentes. "Fuimos físicamente alrededor y, si había una caja en la que estaban, se borraba", dice Curry. "Si se perdían datos, mala suerte".
A finales de Mayo de 2011, unos dos meses después del anuncio de la brecha, RSA seguía recuperándose, reconstruyendo y pidiendo disculpas a los clientes cuando recibió una réplica: apareció un post en el sitio web del influyente bloguero tecnológico Robert X. Cringely, titulado "InsecureID: ¿No más secretos?"
El post se basaba en una fuente de un importante contratista de defensa, que le había dicho a Cringely que la empresa estaba respondiendo a una extensa intrusión de piratas informáticos que parecían haber utilizado valores de semilla RSA robados para entrar. Todo el mundo en el contratista de defensa estaba reemplazando sus tokens RSA. De repente, la brecha de RSA parecía mucho más grave de lo que el anuncio original de la compañía había descrito. "Bueno, no tardó mucho tiempo para que quien crackeó RSA encontrara una cerradura que se ajustara a esa llave", escribió Cringely. "¿Y si todos los tokens de RSA han sido comprometidos, en todas partes?".
Dos días después, Reuters reveló el nombre del contratista militar hackeado: Lockheed Martin, una empresa que representaba una cornucopia de planes ultrasecretos de armas y tecnologías de inteligencia. "La costra se estaba curando", dice Castignola. "Entonces llegó Lockheed. Eso fue como un hongo nuclear. Volvimos a las andadas".
En los días siguientes, los contratistas de defensa Northrop Grumman y L-3 también fueron nombrados en las noticias. Los hackers con los valores de la semilla de SecurID también los habían atacado, según las historias, aunque nunca quedó claro hasta qué punto los intrusos habían penetrado en las empresas. Tampoco se reveló a qué habían accedido los hackers dentro de Lockheed Martin. La empresa afirmó que había evitado que los espías robaran información sensible como datos de clientes o secretos clasificados.
En otra carta abierta a los clientes, a principios de junio de 2011, Art Coviello, de RSA, admitió: "Pudimos confirmar que la información tomada de RSA en marzo había sido utilizada como elemento de un intento de ataque más amplio contra Lockheed Martin, un importante contratista de defensa del gobierno estadounidense."
Hoy, con 10 años de retrospectiva, Coviello y otros ex ejecutivos de RSA cuentan una historia que contradice claramente los relatos de la época: La mayoría de los antiguos empleados de RSA que hablaron conmigo afirman que nunca se demostró que SecurID tuviera algún papel en la brecha de Lockheed. Coviello, Curry, Castignola y Duane sostienen que nunca se confirmó que los intrusos dentro de los sistemas de RSA hubieran robado con éxito la lista completa de los valores de las semillas en una forma no corrompida y no encriptada, ni la lista de clientes asignada a esas semillas necesaria para explotarlas. "No creo que el ataque de Lockheed estuviera relacionado con nosotros en absoluto", afirma rotundamente Coviello.
Por el contrario, en los años transcurridos desde 2011, Lockheed Martin ha detallado cómo los hackers utilizaron la información robada en la brecha de SecurID de RSA como trampolín para penetrar en su red, aunque insiste en que no se robó ninguna información con éxito en ese evento. Una fuente de Lockheed con conocimiento de la respuesta al incidente de la compañía reafirmó a WIRED las afirmaciones originales de la empresa. "Mantenemos los resultados de nuestra investigación forense", dice la fuente. "Nuestro análisis determinó que la violación de nuestro proveedor de token de autenticación de dos factores fue un factor que contribuyó directamente al ataque a nuestra red, un hecho que ha sido ampliamente reportado por los medios de comunicación y reconocido públicamente por nuestro proveedor, incluyendo a Art." De hecho, la fuente de Lockheed afirma que la empresa vio a los hackers introducir códigos SecurID en tiempo real, confirmó que los usuarios objetivo no habían perdido sus tokens y luego, tras sustituir los tokens de esos usuarios, observó cómo los hackers seguían introduciendo sin éxito los códigos de los antiguos tokens.
La NSA, por su parte, nunca ha tenido muchas dudas sobre el papel de RSA en los posteriores hackeos. En una sesión informativa ante el Comité de Servicios Armados del Senado un año después de la brecha de RSA, el director de la NSA, el general Keith Alexander, dijo que el hackeo de RSA "llevó a que al menos un contratista de defensa de los Estados Unidos fuera víctima de actores con credenciales falsificadas", y que el Departamento de Defensa se había visto obligado a reemplazar todos los tokens de RSA que utilizaba.
En la audiencia, Alexander siguió atribuyendo esos ataques, vagamente, a un culpable cada vez más común: China. El New York Times y la empresa de seguridad Mandiant publicarían más tarde un innovador informe sobre un grupo de hackers estatales chinos al que Mandiant había bautizado como APT1. Se creía que el grupo era la Unidad 61398 del Ejército Popular de Liberación, con sede en las afueras de Shanghai. Entre sus docenas de objetivos durante los cinco años anteriores: los go
#0 español: Por fin se puede contar la historia completa del impresionante hackeo de la RSA
Definitivamente 2013 fue más divertido.
Elite Chinese Cyberspy Group Behind Bit9 Hack
https://www.darkreading.com/attacks-breaches/elite-chinese-cyberspy-group-behind-bit9-hack/d/d-id/1140495
¿Hay forma de leerla en español? perece interesante.
#7
[Eliminao: se corta. Ya volveré a intentar subirlo bien por cachos, que además la he cagado en algún sitio y había algún parrrafo repetido]
#6 #7 sabes los token esos que daban en los bancos y generan números cada X segundos?
Pues unos hackers militares chinos robaron el listado de todos los numeritos generados (más de 40 millones de ellos), de tal forma que podían acceder a cualquier sistema que usara esos tokens.
Lo que en principio no tenían era el listado de qué números pertenecían a qué empresas, pero resulta que una empresa tocha de armas/defensa fue atacada usando esos numeritos robados...
#18 pensaba que esos números eran generados de forma random
#7 Yo en Chrome en mi teléfono le doy a los tres puntos y luego en traducir, en escritorio click derecho y traducir, la calidad de la traducción es muy buena.
#26 desconocía por completo eso, muchas gracias es extremadamente útil.
#6 #7
Entre todas las horas de insomnio que Todd Leetham pasó cazando fantasmas dentro de la red de su empresa a principios de 2011, la experiencia que más se le queda grabada todos estos años es el momento en que los alcanzó. O casi lo hizo.
Fue una tarde de primavera, dice, tres días -quizás cuatro, el tiempo se había vuelto borroso- después de que empezara a seguir a los hackers que estaban hurgando en los sistemas informáticos de RSA, el gigante de la seguridad corporativa donde trabajaba. Leetham -un analista calvo, barbudo y cascarrabias al que un compañero de trabajo describió como una "máquina de encontrar hackers basada en el carbono"- había estado pegado a su ordenador portátil junto con el resto del equipo de respuesta a incidentes de la empresa, reunido en torno al centro de operaciones de la compañía, que se encontraba en un lugar acristalado, en una cacería ininterrumpida las 24 horas del día. Y con una creciente sensación de temor, Leetham finalmente había rastreado las huellas de los intrusos hasta sus objetivos finales: las claves secretas conocidas como "semillas", una colección de números que representaban una capa fundamental de las promesas de seguridad que RSA hacía a sus clientes, incluyendo decenas de millones de usuarios en agencias gubernamentales y militares, contratistas de defensa, bancos e innumerables corporaciones de todo el mundo.
RSA guardaba esas semillas en un único servidor bien protegido, al que la empresa llamaba "almacén de semillas". Servían como un ingrediente crucial en uno de los productos principales de RSA: Los tokens SecurID, unos pequeños llaveros que se llevan en el bolsillo y se sacan para demostrar la identidad introduciendo los códigos de seis dígitos que se actualizan constantemente en la pantalla del llavero. Si alguien pudiera robar los valores semilla almacenados en ese depósito, podría clonar esos tokens SecurID y romper silenciosamente la autenticación de dos factores que ofrecían, permitiendo a los hackers saltarse instantáneamente ese sistema de seguridad en cualquier parte del mundo, accediendo a cualquier cosa, desde cuentas bancarias hasta secretos de seguridad nacional.
Ahora, mirando los registros de la red en su pantalla, a Leetham le parecía que esas llaves del reino global de RSA ya habían sido robadas.
Leetham vio con consternación que los hackers habían pasado nueve horas desviando metódicamente las semillas del servidor del almacén y enviándolas a través del protocolo de transferencia de archivos a un servidor hackeado alojado en Rackspace, un proveedor de alojamiento en la nube. Pero entonces descubrió algo que le dio un destello de esperanza: Los registros incluían el nombre de usuario y la contraseña robados de ese servidor hackeado. Los ladrones habían dejado su escondite al descubierto, a la vista de todos. Leetham se conectó a la lejana máquina de Rackspace y tecleó las credenciales robadas. Y ahí estaba: El directorio del servidor aún contenía toda la colección de semillas robadas como un archivo .rar comprimido.
Utilizar las credenciales pirateadas para entrar en un servidor que pertenece a otra empresa y manipular los datos almacenados en él es, según admite Leetham, un movimiento poco ortodoxo en el mejor de los casos, y una violación de las leyes de piratería informática de Estados Unidos en el peor. Pero al ver los datos más sagrados de RSA robados en ese servidor de Rackspace, no dudó. "Iba a aguantar el tirón", dice. "De cualquier manera, estoy salvando nuestra mierda". Tecleó el comando para borrar el archivo y pulsó enter.
Momentos más tarde, la línea de comandos de su ordenador volvió con una respuesta: "Archivo no encontrado". Volvió a examinar el contenido del servidor de Rackspace. Estaba vacío. El corazón de Leetham se desplomó: Los hackers habían sacado la base de datos de semillas del servidor segundos antes de que él pudiera borrarla.
Después de perseguir a estos ladrones de datos día y noche, les había "dado un golpe en la chaqueta cuando salían corriendo por la puerta", como dice hoy. Se le habían escapado de las manos, y se habían ido al éter con la información más preciada de su empresa. Y aunque Leetham aún no lo sabía, esos secretos estaban ahora en manos del ejército chino.
La brecha de seguridad de RSA, cuando se hizo pública días después, redefiniría el panorama de la ciberseguridad. La pesadilla de la compañía fue una llamada de atención no sólo para la industria de la seguridad de la información -el peor hackeo de una empresa de ciberseguridad hasta la fecha-, sino también una advertencia para el resto del mundo. Timo Hirvonen, investigador de la empresa de seguridad F-Secure, que publicó un análisis externo de la brecha, lo consideró una demostración inquietante de la creciente amenaza que supone una nueva clase de hackers patrocinados por el Estado. "Si una empresa de seguridad como RSA no puede protegerse a sí misma", recuerda Hirvonen que pensó entonces, "¿cómo puede hacerlo el resto del mundo?".
La pregunta era bastante literal. El robo de los valores de las semillas de la compañía significaba que se había eliminado una salvaguarda crítica de las redes de miles de sus clientes. Los tokens SecurID de RSA se diseñaron para que las instituciones, desde los bancos hasta el Pentágono, pudieran exigir a sus empleados y clientes una segunda forma de autenticación más allá de un nombre de usuario y una contraseña: algo físico en su bolsillo que pudiera demostrar que lo poseían, y así probar su identidad. Sólo después de teclear el código que aparecía en su token SecurID (un código que solía cambiar cada 60 segundos) podían acceder a su cuenta.
Las semillas de SecurID que RSA generaba y distribuía cuidadosamente a sus clientes permitían a los administradores de red de esos clientes configurar servidores que podían generar los mismos códigos, y luego comprobar los que los usuarios introducían en las solicitudes de acceso para ver si eran correctos. Ahora, tras robar esas semillas, sofisticados ciberespías disponían de las claves para generar esos códigos sin los tokens físicos, abriendo una vía de acceso a cualquier cuenta cuyo nombre de usuario o contraseña fuera adivinable, ya hubiera sido robada o se hubiera reutilizado desde otra cuenta comprometida. RSA había añadido un candado adicional y único a millones de puertas en Internet, y estos hackers ahora conocían potencialmente la combinación de cada una de ellas.
El pasado mes de diciembre, cuando se hizo público que la empresa SolarWinds había sido hackeada por espías rusos, el mundo se despertó con la idea de un "ataque a la cadena de suministro": una técnica en la que un adversario compromete un punto de vulnerabilidad en un proveedor de software o hardware situado aguas arriba -y fuera de la vista- de su objetivo, un punto ciego en la visión de la víctima de sus riesgos de ciberseguridad. Los agentes del Kremlin que hackearon SolarWinds ocultaron el código de espionaje en una herramienta de gestión de TI llamada Orion, utilizada por nada menos que 18.000 empresas e instituciones de todo el mundo.
Utilizando el compromiso de la cadena de suministro de SolarWinds, la agencia de inteligencia extranjera de Rusia, conocida como el SVR, penetró profundamente en al menos nueve agencias federales de Estados Unidos, incluyendo el Departamento de Estado, el Tesoro de Estados Unidos, el Departamento de Justicia y la NASA. En otro ataque a la cadena de suministro que conmocionó al mundo unos años antes, la agencia de inteligencia militar rusa, conocida como GRU, secuestró una pieza de un oscuro software de contabilidad ucraniano para impulsar un gusano destructor de datos conocido como NotPetya, infligiendo 10.000 millones de dólares en daños en todo el mundo en el peor ciberataque de la historia.
Sin embargo, para aquellos con una memoria más larga, la brecha de RSA fue el ataque masivo original a la cadena de suministro. Los ciberespías estatales -que más tarde se reveló que trabajaban al servicio del Ejército Popular de Liberación de China- penetraron en la infraestructura de la que se depende en todo el mundo para proteger Internet. Y al hacerlo, tiraron de la manta bajo el modelo de seguridad digital de todo el mundo. "Me abrió los ojos a los ataques a la cadena de suministro", dice Mikko Hypponen, director de investigación de F-Secure, que trabajó con Hirvonen en el análisis de la empresa sobre la violación de RSA. "Cambió mi visión del mundo: el hecho de que, si no puedes entrar en tu objetivo, encuentras la tecnología que utilizan y entras ahí en su lugar".
En la década siguiente, muchos ejecutivos clave de RSA implicados en el incumplimiento de la empresa han guardado silencio, obligados por acuerdos de no divulgación de 10 años. Ahora esos acuerdos han expirado, lo que les permite contarme sus historias con nuevos detalles. Sus relatos reflejan la experiencia de ser objetivo de sofisticados piratas informáticos estatales que, de forma paciente y persistente, atacan a sus objetivos de red más valiosos a escala mundial, donde el adversario a veces entiende las interdependencias de los sistemas de sus víctimas mejor que las propias víctimas, y está dispuesto a explotar esas relaciones ocultas.
Después de 10 años de piratería informática patrocinada por el Estado y de secuestros de la cadena de suministro, la brecha de RSA puede considerarse ahora como el heraldo de nuestra actual era de inseguridad digital, y una lección sobre cómo un adversario decidido puede socavar las cosas en las que más confiamos.
EL 8 DE MARZO DE 2011, un frío día de finales de invierno, Todd Leetham terminó de fumar y volvía a la sede de RSA en Bedford, Massachusetts -un par de edificios conectados al borde de un bosque en los suburbios de Boston- cuando un administrador de sistemas le apartó y le pidió que echara un vistazo a algo extraño.
#42 El administrador se había dado cuenta de que un usuario había accedido a un servidor desde un PC en el que no solía trabajar, y que la configuración de permisos de la cuenta parecía inusual. Un director técnico que investigaba el acceso anómalo con Leetham y el administrador pidió a Bill Duane, un veterano ingeniero de RSA, que echara un vistazo. Para Duane, que en ese momento estaba ocupado trabajando en un algoritmo criptográfico, la anomalía no parecía motivo de alarma. "Francamente, pensé que este administrador estaba loco", recuerda. "Afortunadamente, fue lo suficientemente testarudo como para insistir en que algo iba mal".
Leetham y los encargados de responder a los incidentes de seguridad de la empresa empezaron a rastrear el comportamiento aberrante y a analizar los datos forenses de cada máquina que había tocado la cuenta anómala. Empezaron a ver más rarezas reveladoras en las credenciales de los empleados, que se remontaban a días atrás. El administrador tenía razón. "Sin duda", dice Duane, "esto era la punta del iceberg".
Durante los días siguientes, el equipo de seguridad del centro de operaciones de seguridad de RSA -una sala de control al estilo de la NASA con filas de escritorios y monitores que cubren una pared- rastreó meticulosamente las huellas dactilares de los intrusos. Los empleados de RSA empezaron a trabajar casi 20 horas al día, impulsados por el escalofriante conocimiento de que la brecha que estaban rastreando seguía desarrollándose. La dirección exigía actualizaciones de sus hallazgos cada cuatro horas, de día o de noche.
Los analistas acabaron rastreando el origen de la filtración hasta un único archivo malicioso que, según ellos, había llegado al ordenador de un empleado de RSA cinco días antes de que iniciaran la búsqueda. Un empleado de Australia había recibido un correo electrónico con el asunto "Plan de contratación 2011" y una hoja de cálculo Excel adjunta. Lo abrió. Dentro del archivo había un script que explotaba una vulnerabilidad de día cero -un fallo de seguridad secreto y sin parches- en Adobe Flash, plantando una pieza común de software malicioso llamada Poison Ivy en la máquina de la víctima.
Ese punto de entrada inicial en la red de RSA, según señaló más tarde Hirvonen de F-Secure en su propio análisis, no era especialmente sofisticado. Un hacker ni siquiera habría podido explotar la vulnerabilidad de Flash si la víctima hubiera estado ejecutando una versión más reciente de Windows o Microsoft Office, o si hubiera tenido acceso limitado para instalar programas en su PC, como recomiendan la mayoría de los administradores de seguridad de las redes corporativas y gubernamentales, dice Hirvonen.
Pero fue a partir de esta entrada cuando, según los analistas de RSA, los intrusos empezaron a demostrar sus verdaderas habilidades. De hecho, varios ejecutivos de RSA llegaron a creer que al menos dos grupos de hackers estaban en su red simultáneamente -un grupo altamente cualificado explotando el acceso del otro, quizás, con o sin su conocimiento. "El primer grupo dejó un rastro en el bosque y, justo en medio de él, se ramifica el segundo rastro", dice Sam Curry, que era el director de seguridad de RSA en ese momento. "Y ese segundo ataque fue mucho más hábil".
En el PC de ese empleado australiano, alguien había utilizado una herramienta que sacaba las credenciales de la memoria de la máquina y luego reutilizaba esos nombres de usuario y contraseñas para iniciar sesión en otras máquinas de la red. A continuación, buscaron en la memoria de esos ordenadores más nombres de usuario y contraseñas, encontrando algunos que pertenecían a administradores más privilegiados. Al final, los hackers llegaron a un servidor que contenía cientos de credenciales de usuarios. Hoy en día, esta técnica de robo de credenciales es habitual. Pero en 2011 los analistas se sorprendieron al ver cómo los hackers se extendían por la red. "Fue la forma más brutal de penetrar en nuestros sistemas que jamás había visto", afirma Duane.
Las brechas tan extensas como la que se llevó a cabo contra RSA suelen descubrirse meses después del hecho, cuando los intrusos ya se han ido o están inactivos. Pero Duane dice que el incidente de 2011 fue diferente: En cuestión de días, los investigadores habían alcanzado esencialmente a los intrusos y los observaban en acción. "Intentaban entrar en un sistema, entonces los detectábamos uno o dos minutos después y entrábamos y apagábamos ese sistema o desactivábamos el acceso a él", dice Duane. "Luchábamos contra ellos con uñas y dientes, en tiempo real".
Fue en medio de esa febril persecución cuando Leetham pilló a los hackers robando lo que todavía cree que era su objetivo más prioritario: las semillas de SecurID.
Los ejecutivos de RSA me dijeron que la parte de su red encargada de fabricar los tokens de hardware de SecurID estaba protegida por un "air gap", es decir, una desconexión total de los ordenadores de cualquier máquina que entre en contacto con Internet. Pero en realidad, dice Leetham, un servidor de la red de RSA conectado a Internet estaba vinculado, a través de un cortafuegos que no permitía ninguna otra conexión, al almacén de semillas en la parte de fabricación. Cada 15 minutos, ese servidor extraía un determinado número de semillas para poder encriptarlas, grabarlas en un CD y entregarlas a los clientes de SecurID. Ese enlace era necesario, ya que permitía a la parte comercial de RSA ayudar a los clientes a configurar su propio servidor, que podía comprobar el código de seis dígitos de los usuarios cuando se tecleaba en un aviso de inicio de sesión. Incluso después de enviar el CD al cliente, esas semillas permanecían en el servidor del almacén de semillas como copia de seguridad en caso de que el servidor SecurID del cliente o su CD de configuración se corrompieran de algún modo.
#43 falta el final, luego lo pongo
#48
Ahora, en lugar de las habituales conexiones cada 15 minutos, Leetham vio registros de miles de solicitudes continuas de datos cada segundo. Es más, los hackers habían estado recogiendo esas semillas no en uno, sino en tres servidores comprometidos, retransmitiendo las peticiones a través de la única máquina conectada. Habían empaquetado la colección de semillas en tres partes, las habían trasladado al lejano servidor de Rackspace y luego las habían recombinado en lo que parecía ser la base de datos completa de todas las semillas que RSA tenía almacenadas en el depósito de semillas. "Me quedé en plan: 'Wow'", dice Leetham. "En cierto modo lo admiré. Pero al mismo tiempo: 'Oh, mierda'".
Cuando Leetham se dio cuenta de que la colección de semillas probablemente había sido copiada -y después de haber hecho su intento, demasiado tardío, de borrar los datos del servidor de los piratas informáticos-, la enormidad del suceso le golpeó: La confianza que los clientes habían depositado en RSA, quizá su bien más preciado, estaba a punto de desaparecer. "Esto es un evento de extinción", recuerda haber pensado. "RSA está acabada".
Era tarde por la noche cuando el equipo de seguridad se enteró de que el almacén de semillas había sido saqueado. Bill Duane tomó la decisión: Cortarían físicamente todas las conexiones de red de RSA que fueran necesarias para limitar los daños y detener cualquier otro robo de datos. Esperaban, en particular, proteger cualquier información de los clientes que estuviera relacionada con las semillas y que pudiera ser necesaria para que los hackers las explotaran. (Algunos miembros del personal de RSA también me sugirieron que las semillas se habían almacenado en un estado encriptado, y que el corte de las conexiones de red pretendía evitar que los hackers robaran la clave necesaria para desencriptarlas). Duane y un director de informática entraron en el centro de datos y empezaron a desenchufar los cables de Ethernet uno por uno, cortando las conexiones de la empresa con sus instalaciones de fabricación, las partes de su red que gestionaban los procesos empresariales básicos, como los pedidos de los clientes, e incluso su sitio web. "Básicamente cerré el negocio de RSA", dice. "Inutilicé la empresa para detener cualquier posible liberación adicional de datos".
Al día siguiente, el director general de RSA, Art Coviello, estaba reunido en la sala de conferencias contigua a su despacho, preparando una declaración pública sobre la brecha en curso. Coviello había estado recibiendo actualizaciones desde que se descubrieron las intrusiones. A medida que el alcance de la brecha crecía, canceló un viaje de negocios a Brasil. Pero se mantuvo relativamente optimista. Después de todo, no parecía que los piratas informáticos hubieran violado los datos de las tarjetas de crédito u otra información sensible de los clientes. Supuso que echarían a los piratas informáticos, publicarían su declaración y seguirían con sus negocios.
Pero en medio de la reunión, recuerda, una ejecutiva de marketing que estaba en la mesa con él miró su teléfono y murmuró: "Oh, vaya".
Coviello le preguntó qué pasaba. Ella se mostró reticente. Él le quitó el teléfono de la mano y leyó el mensaje. Decía que Bill Duane iba a subir al despacho de Coviello; quería poner al día al director general en persona. Cuando subió, le dio la noticia: Los hackers habían llegado a las semillas de SecurID. "Me sentí como si me hubieran disparado una bala de cañón en el estómago", dice Coviello.
En las horas que siguieron, los ejecutivos de RSA debatieron cómo hacer pública la noticia. Una persona del departamento legal sugirió que no era necesario decírselo a sus clientes, recuerda Sam Curry. Coviello dio un puñetazo en la mesa: Insistió en que no sólo admitirían la infracción, sino que se pondrían al teléfono con cada uno de sus clientes para discutir cómo podrían protegerse. Joe Tucci, director general de la empresa matriz, EMC, sugirió rápidamente que se hiciera cargo de los más de 40 millones de tokens SecurID. Pero RSA no disponía de tantos tokens; de hecho, la brecha le obligaría a cerrar la fabricación. Durante las semanas siguientes al hackeo, la empresa sólo pudo reanudar la producción con una capacidad reducida.
Cuando el esfuerzo de recuperación se puso en marcha, un ejecutivo sugirió que lo llamaran Proyecto Fénix. Coviello rechazó inmediatamente el nombre. "Mentira", recuerda haber dicho. "No vamos a resurgir de las cenizas. Vamos a llamar a este proyecto Apolo 13. Vamos a aterrizar la nave sin que se produzcan daños".
Joder, no hay una version reducida y con dibujitos ?
Hay que estar de humor para leerse todo ese tocho...
#6 imagínate que vas a una ferretería a hace una copia de las llaves de tu casa, y sin que te des cuenta, el ferretero se hace una copia para el además de tu copia.
Y a los dos días entran a robar en tu casa abriendo la puerta con la copia.
#14 Solo que no robaron una copia de tu llave, guardaron una copia de cada llave en un almacén donde guardan la única copia de llaves de gobiernos, bancos, empresas tecnológicas, etc. La respuesta de la empresa (si lo he entendido bien) fué "no os preocupéis, como no saben de qué dirección es cada llave no hay peligro" , y en vez de entrar en tu casa entraron en la casa de una multinacional de defensa. Un buen follón, vamos.
#6 Y encima en inglés denso.
#6 Lo que ocurre es: en algún momento se observó que la seguridad de un password dejaba mucho que desear (porque la gente pone 12345678, p.ej.) con lo que la tendencia fué empezar usar varios passwords para autenticación, con la particularidad de que el segundo sería un número que iría cambiando cada cierto tiempo (30 segundos o 1 minutos es lo estándar). Entonces, lo que se hace es usar generadores de numeros pseudoaleatorios: a partir de un numero dado (lo que se conoce como semilla), cada vez que cambia de estado genera un número que es casi aleatorio, y la secuencia no se volverá a repetir en muuuuuuucho tiempo (en el caso que nos ocupa, este número que el usuario usa sale de la semilla y de la fecha y hora actuales: cuando tu te identificas con ese número, el servidor que valida la autenticación sabe cual es tu semilla y qué hora es, y sabe si el número que has puesto es correcto).
Lo que robaron esos tipos, que estaba sin cifrar y demás (que tambien tiene narices) son las semillas de (creo haber leido) 40 millones de clientes. En teoría, eso da la capacidad a los atacantes de hacerse pasar por el legitimo usuario, pero claro... la cosa es mas complicada: los passwords tambien deberían ser conocidos por el atacante, el atacante tendría que tener una relación de a qué cliente corresponde cada semilla (Que según dice el artículo no fué el caso), etc., En el caso que explican, a los de Lockheed Martin se les metieron dentro, aunque no consiguieron sacar nada, y a mi me parece alucinante porque primero: tal como uno se entera de que le han hecho eso al proveedor, cierras todo el acceso y fuerzas a todo el mundo a renovar los passwords. Despues, porque alguien metiendo 2 veces el numero aleatorio incorrecto ya debería resultar en un bloqueo de esa cuenta, y si pasa con varias cuentas una alarma debería saltar, .... Vamos, que lo de RSA fué una cagada, pero lo de sus clientes tambien tiene tela.
No me extraña que China se salga de los bitcoins. No quieren basar su economía en algo tan frágil.