18 marzo 2011

Intrusión en la compañía RSA y robo de información. Teorías.

La noticia ha saltado a los medios, y estamos seguros que será la comidilla en los descansos para el café en la Blackat Europe 2011 que se está celebrando en estos momentos en Barcelona: La compañía de seguridad RSA ha comunicado que han sufrido un ataque de seguridad con posterior robo de información referente a sus productos de autenticación SecurID.

El comunicado, por parte del mismo CEO de RSA Arthur W. Coviello en el blog de la compañía, se trata de una carta abierta a todos sus clientes, en los que informa del descubrimiento de dicho ataque, definiéndolo como un APT (Advanced Persistent Threat, o amenaza avanzada persistente) en toda regla, término de moda sobretodo tras los sucesos ocurridos el año pasado con el caso del hackeo a Google. Se engloban los ataques sofísticados, casi siempre teniendo que recurrir a 0days y cuyo objetivo principal es el robo de información.

No sabemos más detalles del ataque, Coviello ya ha anunciado que el caso está en manos del Gobierno, y estamos seguros que durante los próximos días iremos sabiendo más y más...o eso esperamos por lo menos.

¿Qué pudo pasar? ¿Habrá sido de nuevo un ataque de ingeniería social como ocurrió con todo lo referente a HBGary y Rootkit.com? ¿Se habrá comprometido a algún trabajador, y su equipo estaba lleno de información suculenta, o tenía acceso a la red interna? No estamos seguros, pero yo personalmente voto a una cadena de acontecimientos, que si RSA no informa sobre los tiempos, podría cuadrar. Aquí va una teoría, que podría cuadrar:

1) En Febrero de este año, tuvo lugar la RSA Conference, congreso de seguridad de mucho prestigio y organizado por RSA. Obviamente, en dicho congreso debería haber algún que otro trabajador de dicha empresa.

2) "Quizás", alguno de dichos trabajadores no tendría su portátil lo suficientemente configurado y asegurado, o por un momento lo dejó en algún sitio, susceptible a un ataque físico. O "quizás", en alguno de los stands que tuviese la propia compañía, se encontraban sistemas que luego se enchufarían en su red.

3) Alguien pudo plantar un regalo en alguno de estos sistemas, algún malware, quizás durante alguna de las múltiples fiestas que se celebraron, alguien aprovechó el momento y comprometió alguno de los sistemas.

4) La RSA Conference pasó, todo volvió a su ciclo normal, y el ataque al volver a casa se hizo efectivo, dejando la puerta abierta a los malos para disfrutar de una red tan jugosa desde su propia casa.

¿Podría ser no? Para desmontar esta teoría, únicamente deberíamos conocer cuando pudo ocurrir dicho ataque, o si hay indicios de algún tipo de infección en alguno de los equipos de algún empleado.

Esperaremos ansiosos más información al respecto del ataque, y sobretodo, el alcance real y que podría suponer para sus productos.

Y tú, ¿te lanzas con alguna posible teoría?
.

5 comments :

GusX dijo...

Saludos, la teoría no es mala, pero no sé, me cuesta creer que una empresa como RSA tenga un hueco en su seguridad por un pórtatil o terminal mal configurado. Pero vamos, yo no tengo mejor teoría sin más datos.

Sursum Corda dijo...

Un caso muy curioso, la verdad.

Y la teoría, es muy posible... suena un poco a película de espías, pero ya sabeis: "piensa mal y acertarás..."

David dijo...

En la RSA no es que hubiera algún empleado, sino que seguramente había cientos :) De hecho, suelen tener el stand más grande con multitud de máquinas, pero dudo que en el stand estuviera alguna persona técnica relacionada con el SecureID (más bien estaría gente de negocio, comerciales, product managers, preventas, etc.)

Aún así, no creo que sea la teoría acertada, puesto que en RSA hay miles de empleados. Si la intrusión ha sido en lo del SecureID, parece que el desarrollo se hace en Bedford (MA), con lo que puede ver n teorías.

Anónimo dijo...

root@rsa:/# APT-get instrusion

w_h_d dijo...

chinos? que últimamente están muy cybertocapelotas...