viernes, 18 de marzo de 2011

Comprometen la seguridad de RSA y roban información sobre el producto SecurID

RSA es una de las compañías de seguridad más importantes a nivel mundial. Han emitido un comunicado oficial en el que admiten que su seguridad interna se ha visto comprometida por atacantes y que han robado información relativa a su famoso producto SecurID. El problema es tan grave que involucra al gobierno de los Estados Unidos.

Arthur W. Coviello, Jr., director ejecutivo de RSA ha emitido un comunicado en el que confiesa que RSA ha sido víctima de un "ataque cibernético extremadamente sofisticado" que, por lo que se deduce, viene de tiempo atrás y ahora ha sido detectado. Esto es lo que se llama un ATP (Advanced Persistent Threat), en resumen, un ataque específicamente diseñado contra la compañía, por el que los atacantes obtienen acceso a información interna confidencial. Habitualmente estos ataques llevan meses de preparación y es necesaria una importante investigación posterior para ver cómo y cuándo comenzó. Sobre todo, hasta dónde han llegado.

Al parecer lo que se sabe es que han tenido acceso a "cierta" información relacionada con uno de sus productos estrella: SecurID. Se trata de un token físico que proporciona autenticación segura de dos factores (algo que se sabe y algo que se tiene). En vez de necesitar una sola contraseña para acceder a cualquier recurso, con el token es necesario un PIN y un número de seis cifras que genera el propio dispositivo. Ese código sólo es válido durante un tiempo limitado. Es utilizado por grandes compañías concienciadas con la seguridad para, habitualmente, acceso externo a las redes.

Según el comunicado, la información robada podría "reducir la efectividad de la implementación actual de la autenticación de dos factores". ¿Qué quiere decir esto? Realmente toda deducción no serán más que especulaciones, pero es posible que los ladrones hayan tenido acceso a información que permita deducir de qué forma se calculan las contraseñas de un solo uso y, por tanto, permitir a un atacante acceder a recursos ajenos sin necesidad de disponer del token físico. Pero no es posible asegurarlo en estos momentos. Además, el atacante necesitaría también el PIN del atacado, que es algo que, supuestamente, solo debería estar en la memoria del usuario.

Ante la gravedad del asunto, EMC (a la que pertenece RSA) ha rellenado un formulario llamado 8-K. Se trata de un documento gubernamental que se utiliza para informar de un evento importante e inesperado a la "U.S. Securities and Exchange Commission"

Hay que tener en cuenta que, como ha ocurrido en otras ocasiones con el robo de material secreto en empresas, a la larga puede hacerse público. Hoy en día podemos encontrar en redes P2P y puntos de descarga directa, desde partes del código fuente de Windows y del antivirus de Kaspersky, hasta todos los correos privados del último año del dueño la compañía de seguridad HBGary.

Quizás resulte extraño que una empresa dedicada por entero a la seguridad, y que lleva el nombre de los inventores de la criptografía moderna, haya sido comprometida. Pero es necesario recordar que esto ha pasado en los últimos años con muchas empresas importantes, desde Google a la propia HBGary (a la que destriparon por completo), y que nadie está a salvo de ataques si son lo suficientemente sofisticados.

Los consejos que da RSA a sus clientes son muy genéricos por ahora. Básicamente, mejorar la seguridad y estar más atentos. Pide, especialmente, concentrarse en "social media applications".

Además del golpe a la imagen, suponemos que es posible que RSA deba en un futuro cercano, o bien actualizar o bien reemplazar todos los tokens de sus clientes para garantizar su seguridad, lo que supondrá igualmente un coste económico importante para la compañía.


Sergio de los Santos
ssantos@hispasec.com


Más información:

8K
http://www.sec.gov/Archives/edgar/data/790070/000119312511070159/0001193125-11-070159-index.htm

Open Letter to RSA Customers
http://www.rsa.com/node.aspx?id=3872

No hay comentarios:

Publicar un comentario en la entrada