CSIRTCV

Está usted visitando una publicación en la hemeroteca de CSIRT-CV.
Para acceder al portal y contenido actual, visite https://www.csirtcv.gva.es

21/03/2011

Intrusión en la compañía RSA y robo de información

Key La compañía de seguridad RSA ha comunicado que han sufrido un ataque de seguridad con posterior robo de información referente a sus productos de autenticación SecurID.

La noticia ha saltado a los medios, y estamos seguros que será la comidilla en los descansos para el café en la Blackat Europe 2011 que se está celebrando en estos momentos en Barcelona: La compañía de seguridad RSA ha comunicado que han sufrido un ataque de seguridad con posterior robo de información referente a sus productos de autenticación SecurID.

El comunicado, por parte del mismo CEO de RSA Arthur W. Coviello en el blog de la compañía, se trata de una carta abierta a todos sus clientes, en los que informa del descubrimiento de dicho ataque, definiéndolo como un APT (Advanced Persistent Threat, o amenaza avanzada persistente) en toda regla, término de moda sobretodo tras los sucesos ocurridos el año pasado con el caso del hackeo a Google. Se engloban los ataques sofísticados, casi siempre teniendo que recurrir a 0days y cuyo objetivo principal es el robo de información.

No sabemos más detalles del ataque, Coviello ya ha anunciado que el caso está en manos del Gobierno, y estamos seguros que durante los próximos días iremos sabiendo más y más...o eso esperamos por lo menos.

¿Qué pudo pasar? ¿Habrá sido de nuevo un ataque de ingeniería social como ocurrió con todo lo referente a HBGary y Rootkit.com? ¿Se habrá comprometido a algún trabajador, y su equipo estaba lleno de información suculenta, o tenía acceso a la red interna? No estamos seguros, pero yo personalmente voto a una cadena de acontecimientos, que si RSA no informa sobre los tiempos, podría cuadrar. Aquí va una teoría, que podría cuadrar:

  1. En Febrero de este año, tuvo lugar la RSA Conference, congreso de seguridad de mucho prestigio y organizado por RSA. Obviamente, en dicho congreso debería haber algún que otro trabajador de dicha empresa.
  2. "Quizás", alguno de dichos trabajadores no tendría su portátil lo suficientemente configurado y asegurado, o por un momento lo dejó en algún sitio, susceptible a un ataque físico. O "quizás", en alguno de los stands que tuviese la propia compañía, se encontraban sistemas que luego se enchufarían en su red.
  3. Alguien pudo plantar un regalo en alguno de estos sistemas, algún malware, quizás durante alguna de las múltiples fiestas que se celebraron, alguien aprovechó el momento y comprometió alguno de los sistemas.
  4. La RSA Conference pasó, todo volvió a su ciclo normal, y el ataque al volver a casa se hizo efectivo, dejando la puerta abierta a los malos para disfrutar de una red tan jugosa desde su propia casa.


¿Podría ser, no? Para desmontar esta teoría, únicamente deberíamos conocer cuándo pudo ocurrir dicho ataque, o si hay indicios de algún tipo de infección en alguno de los equipos de algún empleado.

Esperaremos ansiosos más información al respecto del ataque, y sobretodo, el alcance real y que podría suponer para sus productos.

Leer nota (original en inglés)

Fuente: Security by Default

CSIRT-CV