Está usted visitando una publicación en la hemeroteca de CSIRT-CV.
Para acceder al portal y contenido actual, visite https://www.csirtcv.gva.es
23/03/2011
Intrusió en la companyia RSA i robatori d'informació
La companyia de seguretat RSA ha comunicat que han patit un atac de seguretat amb posterior robatori d'informació, referent als seus productes d'autenticació SecurID.
La notícia ha botat als mitjans, i estem segurs que serà el tema de murmuració en els descansos per al café en la Blackat Europe 2011, que s'està celebrant en aquests moments a Barcelona: la companyia de seguretat RSA ha comunicat que han patit un atac de seguretat amb posterior robatori d'informació, referent als seus productes d'autenticació SecurID.
El comunicat –per part del mateix CEO de RSA Arthur W. Coviello, en el bloc de la companyia– es tracta d'una carta oberta a tots els seus clients, en que se’ls informa del descobriment del dit atac, definint-ho com un APT (Advanced Persistent Threat, o amenaça avançada persistent) en tota regla, terme de moda, sobretot després dels successos ocorreguts l'any passat amb el cas de l'hackeig a Google. S'engloben els atacs sofisticats, quasi sempre havent de recórrer a 0days i l'objectiu principal dels quals és el robatori d'informació.
No sabem més detalls de l'atac, Coviello ja ha anunciat que el cas està en mans del Govern, i estem segurs que durant els pròxims dies anirem sabent més i més...O això esperem almenys.
Què va poder passar? Haurà estat de nou un atac d'enginyeria social, com va ocórrer amb tot el referent a HBGary i Rootkit.Com? S'haurà compromés a algun treballador, i el seu equip estava ple d'informació suculenta, o tenia accés a la xarxa interna? No estem segurs, però jo personalment pense en una cadena d'esdeveniments, que si RSA no informa sobre els temps, podria quadrar. Vet ací una teoria, que podria quadrar:
- Al febrer d'enguany va tindre lloc la RSA Conference, congrés de seguretat de molt de prestigi i organitzat per RSA. Òbviament, en el dit congrés hauria d'haver-hi algun treballador de la dita empresa.
- "Potser", algun de dites treballadores no tindria el seu portàtil prou configurat i assegurat, o per un moment ho va deixar en algun lloc, susceptible a un atac físic. O "potser", en algun dels estands que tinguera la pròpia companyia, es trobaven sistemes que després es connectarien en la seua xarxa.
- Algú va poder plantar un regal en algun d'aquests sistemes, algun malware; potser, durant alguna de les múltiples festes que es van celebrar, algú va aprofitar el moment i va comprometre algun dels sistemes.
- La RSA Conference va passar, tot va tornar al seu cicle normal, i l'atac en tornar a casa es va fer efectiu, deixant la porta oberta als delinqüents per a gaudir d'una xarxa tan sucosa des de la seua pròpia casa.
Podria ser, no? Per a desmuntar aquesta teoria, únicament hauríem de conéixer quan va poder ocórrer el dit atac, o si hi ha indicis d'algun tipus d'infecció en algun dels equipaments d'algun empleat.
Esperarem ansiosos més informació respecte d'això de l'atac i, sobretot, l'abast real i que podria suposar per als seus productes.
Llegir nota (original en anglès)