En esta
entrada del blog se va a hablar de forma general el ataque que sufrió RSA que
durante el ataque, los hackers robaron información de uno de sus productos más
importantes de la empresa que es RSA SecurID, aunque este tipo de ataques
acostumbran a proceder del espionaje de las organizaciones. La empresa RSA
aseguró que no se han puesto en peligro los datos personales de cualquier
cliente ni empleado.
Primeramente los
atacantes pudieron entrar de la siguiente forma; enviaron dos corres electrónicos
a empleados que al parecer no tenían puestos altos, es decir que no tenían un
perfil tan valioso para la empresa , y esta es una buena forma de hacer este
tipo de cosas y precisamente es por aquí donde comienzan los atacantes de
cualquier tipo ya que son personas que están menos protegidas.
Se les envió
un correo con el asunto "2011 Recruitment Plan" con un Excel del
mismo nombre adjunto. Uno de los usuarios, incluso, rescató el email de la
carpeta de correo basura. Según RSA, es porque el correo estaba muy bien
construido. Una buena política de seguridad debería prohibir y entrenar
expresamente a los usuarios para no abrir archivos no solicitados, sin excusas.
El Excel contenía en su interior un fallo no conocido hasta ese momento en Flash, que permitía la ejecución de código. De esto se deduce que, aunque RSA hubiera mantenido todo su software actualizado, el atacante hubiese igualmente conseguido ejecutar código.
El Excel contenía en su interior un fallo no conocido hasta ese momento en Flash, que permitía la ejecución de código. De esto se deduce que, aunque RSA hubiera mantenido todo su software actualizado, el atacante hubiese igualmente conseguido ejecutar código.
Luego los
atacantes instalaron una variante del conocido RAT (herramienta de
administración remota) y crearon una conexión inversa hacia un servidor propio
del atacante. RSA afirma que "esto lo hace más difícil de detectar",
pero no es del todo cierto. Lo que hace más difícil de detectar estas
conexiones es el hecho de que suelen estar cifradas, ofuscadas y en puertos
estándares que no levantan sospechas, no el hecho en sí de que sean
"inversas". En realidad, esto está asumido como estándar.
Referencias