Ataque a RSA

En esta entrada del blog se va a hablar de forma general el ataque que sufrió RSA que durante el ataque, los hackers robaron información de uno de sus productos más importantes de la empresa que es RSA SecurID, aunque este tipo de ataques acostumbran a proceder del espionaje de las organizaciones. La empresa RSA aseguró que no se han puesto en peligro los datos personales de cualquier cliente ni empleado.

Primeramente los atacantes pudieron entrar de la siguiente forma; enviaron dos corres electrónicos a empleados que al parecer no tenían puestos altos, es decir que no tenían un perfil tan valioso para la empresa , y esta es una buena forma de hacer este tipo de cosas y precisamente es por aquí donde comienzan los atacantes de cualquier tipo ya que son personas que están menos protegidas.

Se les envió un correo con el asunto "2011 Recruitment Plan" con un Excel del mismo nombre adjunto. Uno de los usuarios, incluso, rescató el email de la carpeta de correo basura. Según RSA, es porque el correo estaba muy bien construido. Una buena política de seguridad debería prohibir y entrenar expresamente a los usuarios para no abrir archivos no solicitados, sin excusas.

El Excel contenía en su interior un fallo no conocido hasta ese momento en Flash, que permitía la ejecución de código. De esto se deduce que, aunque RSA hubiera mantenido todo su software actualizado, el atacante hubiese igualmente conseguido ejecutar código.

Luego los atacantes instalaron una variante del conocido RAT (herramienta de administración remota) y crearon una conexión inversa hacia un servidor propio del atacante. RSA afirma que "esto lo hace más difícil de detectar", pero no es del todo cierto. Lo que hace más difícil de detectar estas conexiones es el hecho de que suelen estar cifradas, ofuscadas y en puertos estándares que no levantan sospechas, no el hecho en sí de que sean "inversas". En realidad, esto está asumido como estándar.

Referencias

-          http://www.itespresso.es/

-          http://www.a2secure.com/

-          http://unaaldia.hispasec.com/

Heartbleed

En esta entrada vamos a hablar de Heartbleed que es una amenaza actual para los usuarios web. Dicho en forma general, ‘HeartBleed’  es un bug capaz de capturar y desencriptar desde los nombres de usuario hasta las contraseñas, entre otra información sensible contenida en la memoria de los servidores donde se almacena esta información.

Para entender un poco más a fondo esta amenaza, comenzaremos por preguntarnos qué es OpenSSL.  OpenSSL es un protocolo gratuito utilizado para navegar de forma segura por la web, el cual restringe el acceso de terceros a los datos personales de otros usuarios, como sus correos electrónicos, contraseñas, entre otros. Se trata, ni más ni menos, de una de las bibliotecas de criptología más utilizadas en Internet.

El bug Heartbleed es una grave vulnerabilidad en OpenSSL biblioteca de software criptográfico. Esta debilidad permite robar la información protegida, bajo condiciones normales, por el cifrado SSL / TLS utilizado para asegurar la Internet. SSL / TLS proporciona seguridad de las comunicaciones y la privacidad a través de Internet para aplicaciones como web, correo electrónico, mensajería instantánea (IM) y algunas redes privadas virtuales (VPN).

El error Heartbleed permite a cualquier persona en el Internet para leer la memoria de los sistemas protegidos por las versiones vulnerables del software OpenSSL. Esto compromete las claves secretas que se utilizan para identificar a los proveedores de servicios y para cifrar el tráfico, los nombres y las contraseñas de los usuarios y el contenido real. Esto permite a los atacantes espiar las comunicaciones, se roban los datos directamente de los servicios y de los usuarios y para suplantar a los servicios y los usuarios.

Algunas versiones de OpenSSL son vulnerables a este fallo de seguridad, por lo que existe la posibilidad que sean propensas a recibir un ataque remoto. Esto significa que un delincuente puede atacar un servidor que esté utilizando un servicio vulnerable y, de forma remota, le pide una cantidad de información específica almacenada en su memoria, haciendo efectivo el robo.

Han surgido gran número de noticias acerca de esta amenaza ya que los datos de todos los usuarios han sido expuestos, inclusive información personal, a hackers.

Como todo mundo está expuesto a este ataque, según las investigaciones no se sabe cuáles versiones son vulnerables, sin embargo la propuesta de solución no es tan certera. El administrador de los servidores infectados puede recurrir a tener las actualizaciones más recientes de OpenSSL ya que pueden estar más protegidas, pero tampoco se sabe si es correctamente hacerlo.

También uno como usuario lo que puede hacer es cambiar sus contraseñas de sus cuentas lo más frecuentemente posible, pero puede suceder que no funcione ya que la vulnerabilidad permanecerá mientras las empresas dueñas de estos sitios no actualicen su software de encriptación.

Referencias

-          http://heartbleed.com/

-          http://www.elfinanciero.com.mx/tech/heartbleed-compromete-seguridad-de-usuarios-de-internet.html

-          http://www.vanguardia.com.mx/heartbleedqueesycomooperaelmayorfallodeseguridadeninternet-1994682.html

-          http://actualidad.rt.com/actualidad/view/124866-heartbleed-cambiar-contrasenas-amenaza