Note: This post is available in English at http://infosecbyac.blogspot.com/2011/03/rsa-securid-attack.html
RSA, la división seguridad de EMC publicó el 17 de Marzo una “carta abierta” (2) donde comunica que fueron víctimas de un ataque cibernético. Acorde a las investigaciones realizadas por RSA, sospechan que tuvo lugar lo que es llamado una Amenaza Avanzada Permanente (Advanced Persistent Threat), que son “formas avanzadas y clandestinas de ganar inteligencia continua y persistente sobre un individuo ó grupos de individuos”. Desde la perspectiva de Seguridad de la Información, se refiere a “patrones a largo plazo de intentos sofisticados de hackeo cuyos objetivos son gobiernos, empresas y/o activistas políticos”. (1)
RSA, la división seguridad de EMC publicó el 17 de Marzo una “carta abierta” (2) donde comunica que fueron víctimas de un ataque cibernético. Acorde a las investigaciones realizadas por RSA, sospechan que tuvo lugar lo que es llamado una Amenaza Avanzada Permanente (Advanced Persistent Threat), que son “formas avanzadas y clandestinas de ganar inteligencia continua y persistente sobre un individuo ó grupos de individuos”. Desde la perspectiva de Seguridad de la Información, se refiere a “patrones a largo plazo de intentos sofisticados de hackeo cuyos objetivos son gobiernos, empresas y/o activistas políticos”. (1)
Según Art Coviello, Presidente Ejecutivo de RSA, el ataque tuvo éxito en extraer información de servidores de la Compañía. El tipo de información extraída no fue hecha pública por la Compañía, pero sí establecieron que está relacionada con los productos de autentificación de dos factores SecurID (3). Según la Compañía, la información extraída no permitiría realizar un ataque con éxito sobre los usuarios del producto SecurID, pero podría ser utilizada para reducir la efectividad de implementaciones de autentificación basadas en dos factores como parte de un ataque mayor. RSA está recomendando a sus clientes la ejecución de medidas inmediatas para asegurar sus implementaciones del producto SecurID. Hasta el momento, ningún otro producto de RSA fue afectado.
Como hemos mencionado previamente, se desconoce cuál fue la información extraída. Fuentes no oficiales establecen que ésta podría estar relacionada con datos utilizados por el algoritmo del producto SecurID, como ser el dato de la semilla. El SecurID es un dispositivo llamado “token” (4) del tipo sincrónicos que generan una contraseña única y e irrepetible (One Time Password) que cambia cada 30 ó 60 segundos basándose en la hora, fecha y una semilla (algunas versiones también requieren el ingreso de un PIN para que el dispositivo funcione). La semilla son llaves de 128 bits grabadas en el hardware del dispositivo (es única para cada dispositivo) y los datos hora y fecha funcionan como vectores de inicialización (Initialization Vectors) que le agregan aleatoriedad al proceso, evitando la repetición de contraseñas.
Aparentemente, RSA guarda una copia de la semilla de cada dispositivo vendido (salvo que el Cliente solicite lo contrario), con el número de serie del mismo. Esta es la información que podría haber sido extraída de los servidores de la Compañía y que podría llegar a ser utilizada para generar una contraseña sin poseer físicamente el dispositivo.
¿Por qué el Director Ejecutivo de RSA establece “esta información podría ser utilizada para reducir la efectividad de implementaciones de autentificación basadas en dos factores como parte de un ataque mayor”? La respuesta es la forma en que el producto SecurID trabaja. Para autentificarse con éxito con un dispositivo SecurID, uno debe ingresar la contraseña resultante más un PIN que solo es conocido por el usuario (por eso es un sistema de autentificación de dos factores, algo que uno tiene y algo que uno sabe). Sin el PIN, un atacante no puede hacer mucho. Sin embargo, si se confirman las versiones de la información extraída, éste poseería el resto de los datos (tiempo, fecha y semilla) y con el número de serie de un dispositivo, podría seleccionar un usuario en particular y convertirlo en el blanco de un ataque de ingeniería social (ej. Phishing) con el objetivo de obtener el PIN faltante.
¿Qué deberían hacer los clientes de RSA? Primero, es demasiado pronto para tomar una decisión si el producto SecurID es inseguro, ya que las investigaciones por parte de la empresa se encuentran en ejecución. Lo que sí podrían hacer es solicitar a los usuarios del producto que cambien su PIN más seguido y capacitarlos en técnicas para evitar ataques de ingeniería social. Finalmente, las implementaciones de los servidores del producto SecurID deben ser asegurados, los datos (números de serie de los dispositivos y semillas) cifrados e implementar controles técnicos a nivel de red, como pueden ser HIDS ó NIDS (Host/Network Intrusion Detection Systems) y monitoreo.
¿Qué debería hacer RSA? Si los números de serie y semillas fueron realmente extraídos, las semillas de los dispositivos afectados deben ser cambiadas y desde ya, su infraestructura de IT (servidores SecurID), asegurada.
Por Agustin Chernitsky
Fuentes:
(1) http://en.wikipedia.org/wiki/Advanced_Persistent_Threat
(2) http://www.rsa.com/node.aspx?id=3872