Something more than [in]security in computing: 5/29/11

El Viernes 27 de Mayo del 2011, se dió la noticia de que una empresa que ofrece servicio de seguridad al pentágono fue vulnerada en la creación de los tokens utilizados para acceder a la red interna por parte de los usuarios desde otra parte que no fuese su lugar de trabajo. Las primera noticias no apuntaron a la compañía que sufrió el incidente de forma directa, pero Reuters publicó que la empresa que sufrió tal incidente fue Lockheed Martin, compañía contratista de seguridad y proveedor de maquiniaria para la milicia estadounidense fabricando aviones para el Pentágono.

En el mes de Marzo, RSA dió a conocer que sufrió de una violación de datos, y que esto podía provocar problemas de seguridad en sus productos. Ante esto, algunos de los clientes y usuarios tomaron medidas para fortalecer su seguridad para evitar posibles fallas en sus sistemas, o bien, el robo de información. El algoritmo RSA es ya muy conocido, pero no por ello implica que sea fácil de vulnerar, pues se puede tener una llave pero no el candado que abre. De tal forma que, quien haya obtenido la llave, logró encontrar el candado que abría. Esto es comentado en el blog de Robert Cringely. Pero no sólo se necesita la llave, sino candados con los cuales probar, así el ataque perpetrado tendría que ser por fuerza bruta.

El ataque que sufrió en Marzo RSA, consistió primero que nada en el uso de Ingeniería Social, combinándose con spamming, resultando en phishing. Se enviaron correos a personas de la empresa, de las cuales una [cuya identidad se conserva en el anonimato] accedió al correo y descargó un archivo con una hoja de cálculo, cuyo nombre sugería contener información de reclutamiento. Dicho archivo contenía un exploit que atacaba un 0-day contra Adobe Flash, el atacante podía instalar lo que quisiera en la máquina, y en este caso se instaló Poison Ivy RAT [Remote Administration Tool]. Al tener acceso remoto a un equipo se pudo acceder a la red después de una escalada de privilegios. Se recopiló información para ser descargada posteriormente. La información que se obtuvo fue acerca de SecureID, pero se desconoce si los hackers obtuvieron información de cómo generar los tokens, lo cual sugiere el vector inicial del ataque perpetrado contra Lockheed Martin.

Lo que ocurrió con Lockheed Martin, es que ofrecía el servicio de autenticación doble con SecureIDs de RSA para acceder a las redes corporativas. Dicho acceso tuvo que ser bloqueado el Domingo anterior a la publicación de la brecha de seguridad, y se informó a los usuarios que el servicio estaría suspendido durante una semana; y que se reestablecerían las contraseñas y tokens para acceder.

De cualquier forma, existen varias proposiciones de lo que pudo o puede ocurrir a partir de las brechas de seguridad.

Se sugiere que cerca de 100mil usuarios se ven afectados por tal incidente, pues al parecer la información que se vió afectada fue con respecto a la administración o usuarios con privilegios.

A pesar de ello, RSA ha estipulado que los hackers que lograron romper la seguridad, aún necesitan más información para poder obtener algo importante; pues necesitan los nombres de usuario y contraseñas, independientemente del token que han obtenido y han podido utilizar.

Ante la situación que se ha presentado, nace la posibilidad de que el ataque sea producto de ciberespionaje. Lo cual no habría que descartar, ya que Stuxnet mostró la capacidad de la gente preparada [hackers] para poder irrumpir en sistemas informáticos de alta seguridad, por lo cual cabe recordar el principio del eslabón más débil.

No se sabe que información fue la que se extrajo de Lockheed Martin, si es que se obtuvo alguna. En caso de que fuese así, la información puede ser de sistemas de armamento en desarrollo, así como equipo utilizado por la milicia en algunas operaciones. A esto, el Pentágono ha declarado que el número de llaves electrónicas de seguridad RSA en uso es limitado, reservándose de mencionar la cantidad por razones de seguridad.

Mucha de la información que se ha recopilado con respecto al incidente ha sido manejada de forma anónima por oficiales en la industria militar. Si bien, el alcance de los daños puede ser especulativo, las opiniones y narraciones que han sido publicadas dan una idea general de lo que puede representar dicho ataque.

Las medidas que ha tomado Lockheed Martin, tienen que ver con el aseguramiento de su información, de tal manera que si se detecta algún comportamiento anómalo que provenga del exterior de la red, la contramedida será el cierre de todos los sectores de la red para evitar infiltraciones.

Apenas el Domingo 29 de Mayo se publicó que siguen las acciones de reestablecimiento de contraseñas para el acceso de los usuarios. Algunas de las acciones que se decidieron tomar son la suspensión del uso de la red privada virtual de la compañía, el cambio de contraseñas, mejorar los tokens de acceso SecureID e incluir un nuevo nivel de seguridad para el acceso remoto. Y un día antes, el 28 de Mayo, Jennifer Whitlow [vocera de Lockheed Martin] aseveró en un correo electrónico que los datos de clientes, empleados y programas no fueron comprometidos.

Lo que sigue es encontrar el origen del ataque, así como a los responsables, y lo importante es el tiempo que esto pueda llevar antes de que un ataque parecido vuelva a repetirse en alguna otra institución. Ya que se sugiere que hay información que sí ha sido obtenida, sospechando quizás de espionaje militar por parte de China y Rusia, y una de las premisas que sugiere dicha conclusión es que han desarrollado rápidamente aviones o jets militares sigilosos, es decir, no detectables por radares; sugiriendo que hayan tomado modelos en base a información obtenida de los Estados Unidos de América. Lockheed Martin no afirma dicha suposición, pues aceptan que la compañía es un objetivo frecuente de adversarios al rededor del mundo.