Hackeo de tokens SecurID RSA de EMC

Ral Alberto Bentez Martnez

Universidad Nacional de Asuncin, Facultad Politcnica, Ingeniera en Informtica
raulkvd@gmail.com
Abstract. El presente trabajo prctico expone las principales consideraciones
referentes de un ataque a una empresa que provee software y sistemas para
administracin y almacenamiento de informacin en los Estados Unidos, dicha
empresa es EMC en su departamento RSA, su Divisin de Seguridad.
Keywords: EMC, RSA, APT, Phishing, CISOs.
1 Introduccin
SecurID, ahora conocido como RSA SecurID, es un mecanismo desarrollado por
Dinmica de Seguridad (RSA Security ms tarde y ahora RSA, la Divisin de
Seguridad de EMC) para realizar la autenticacin doble factor para un usuario a un
recurso de red.
El mecanismo de autenticacin RSA SecurID consiste de un "token" - ya sea por
hardware (por ejemplo, una llave USB) o software (un software token) - que se asigna
a un usuario de la computadora y que genera un cdigo de autenticacin a intervalos
fijos (normalmente 60 segundos) utilizando un reloj integrado y la tarjeta de la fbrica
con codificacin de claves aleatorias (conocida como la "semilla"). La semilla es
diferente para cada token, y se carga en el correspondiente servidor RSA SecurID
(RSA Authentication Manager, anteriormente ACE/Server) como los tokens se
compran.
El token de hardware est diseado para ser resistente a la manipulacin para impedir
la ingeniera inversa. Cuando las implementaciones de software del mismo algoritmo
("tokens software") aparecieron en el mercado, el cdigo pblico ha sido desarrollado
por la comunidad de seguridad que permite al usuario emular RSA SecurID en el
software, pero slo si tienen acceso a un cdigo RSA SecurID actual, y el archivo de
semilla original de RSA SecurID introducido en el servidor. En el esquema de
autenticacin RSA SecurID, el registro de semillas es la clave secreta utilizada para
generar contraseas de un solo uso. Las nuevas versiones tambin cuentan con un
conector USB, que permite que el token se utilice como una tarjeta inteligente-como
dispositivo para el almacenamiento seguro de certificados.
Un usuario que se autentica a un recurso de red por ejemplo, un servidor de acceso
telefnico o un firewall tiene que introducir tanto un nmero de identificacin
personal y el nmero que se muestra en ese momento en su token RSA SecurID.
Algunos sistemas utilizan RSA SecurID ignorando la implementacin PIN del todo, y
dependen de combinaciones de cdigo contrasea/RSA SecurID. El servidor, que
tambin tiene un reloj de tiempo real y una base de datos de las tarjetas vlidas con
los registros de semillas asociados, calcula que el nmero del token se supone que se
muestra en ese momento en el tiempo, se comprueba en contra de lo que el usuario
introduce y hace la decisin de permitir o denegar el acceso.
Mientras que el sistema RSA SecurID aade una capa fuerte de seguridad a una red,
la dificultad puede ocurrir si el reloj del servidor de autenticacin se queda fuera de
sincrona con el reloj incorporado en los tokens de autenticacin. Sin embargo,
tpicamente los RSA Authentication Manager corrigen automticamente sin afectar al
usuario. Tambin es posible volver a sincronizar un token manualmente en el RSA
Authentication Manager. Proporcionar autenticacin de tokens para todas las personas
que podran necesitar acceder a un recurso puede ser caro (alrededor de $ 15 al ao +
los costos de licencias), sobre todo porque los tokens estn programados para
"expirar" en un tiempo fijo, generalmente de tres aos, lo que requiere la compra de
un nuevo token.
RSA Security ha llevado adelante una iniciativa denominada "Autenticacin Ubicua",
en asociacin con los fabricantes de dispositivos tales como IronKey, SanDisk,
Motorola, Freescale Semiconductor, RedCannon, Broadcom, y BlackBerry para
integrar el software SecurID en dispositivos de todos los das tales como unidades
flash USB y telfonos mviles, para reducir el costo y el nmero de objetos que el
usuario debe llevar.
2 Descripcin
Los ataques APT (Advanced Persistent Threat) suelen tener tres fases principales. El
primero es el ataque de ingeniera social, que es uno de los elementos clave que
diferencia a un APT del hacking de viejos tiempos. Desde la primera mencin de
APTs ha sido claro que estos ataques sern difciles de combatir, ya que utilizan una
combinacin de ingeniera social con vulnerabilidades en el punto final para acceder a
las PC de los usuarios. Una vez dentro ya est en la red, usted slo tiene que encontrar
un camino a los usuarios adecuados y sistemas, y seguir con la actividad "regular" de
hacking.
La parte de la ingeniera social es igualmente simple. Como he mencionado en un
blog anterior que se centr en algunas de las estrategias de defensa contra APT, slo
pensar en lo que ha cambiado en las ltimas dcadas. En la dcada de 1980 que tena
a tipos como Matthew Broderick en Juegos de Guerra, en busca de mdems
conectados a redes sensibles. Matthew mape redes y encontr puntos dbiles. Sus
ataques no tenan nada que ver con los usuarios, sino que utiliza las deficiencias en la
infraestructura. Pero si Matthew estaba organizando un hack APT hoy, lo primero que
hara es visitar los sitios de medios sociales. Haba reunir informacin de inteligencia
sobre las personas de las organizaciones, no en infraestructura. Entonces l le enviara
un correo electrnico de phishing a los empleados de inters.
3 Etapas del ataque
3.1 Primera Etapa
En nuestro caso, el atacante envi dos correos electrnicos de phishing diferentes
durante un perodo de dos das. Estos correos electrnicos fueron enviados a dos
pequeos grupos de empleados. Cuando nos fijamos en la lista de usuarios que fueron
dirigidos, no se ve ningn indicio evidente, nada que explique los objetivos de alto
perfil o de alto valor.
La lnea del asunto del correo electrnico era "Plan de Reclutamiento 2011". Esto era
suficientemente intrigante para que uno de los empleados saque efectivamente el
correo electrnico fuera de su caja de basura y haga doble clic en el archivo adjunto
de correo electrnico, que era una hoja de clculo excel titulado 2011 Recruitment
plan.xls.
3.2 Segunda Etapa
La hoja de clculo contiene un exploit de da cero que instala una puerta trasera a
travs de la vulnerabilidad de Adobe Flash (CVE-2011-0609). Adobe ya ha lanzado
un parche de emergencia para el da cero. El exploit inyecta cdigo malicioso en la
PC del empleado, permitiendo el pleno acceso a la mquina. El atacante en este caso
instala una herramienta personalizada de administracin remota conocida como una
variante RAT Poison Ivy, si usted est familiarizado con APT reconocer Poison Ivy,
ya que ha sido ampliamente utilizado en muchos otros ataques, incluyendo GhostNet.
3.3 Tercera Etapa
La siguiente fase de una APT es moverse lateralmente dentro de la red una vez que
estn comprometidas algunas de las PCs de los empleados. La cosa es que los puntos
de entrada iniciales no son suficientemente estratgico para los atacantes, sino que
necesitan usuarios ms accesos, ms derechos de administrador a los servicios
pertinentes y servidores, etc.
3.4 Cuarta Etapa
En la cuarta etapa de la APT, el objetivo es extraer lo que pueda. El atacante, en el
caso de RSA estableci acceso a los servidores de almacenamiento intermedio en
puntos de agregacin clave, lo que hizo para prepararse para la extraccin. Luego
entr en los servidores de inters, elimin datos y se traslad a los servidores internos
de parada donde los datos se agregan, se comprimen y se cifran para la extraccin.
3.5 Quinta Etapa
El atacante utiliz FTP para transferir muchos archivos RAR de contraseas
protegidas desde el servidor de archivos RSA a un servidor de almacenamiento
intermedio fuera de una externa mquina comprometida de un proveedor de hosting.
Los archivos fueron retirados posteriormente por el atacante y se eliminaron del host
externo comprometido para quitar cualquier rastro del ataque.
4 Prevencin
Es interesante observar que el ataque fue detectado por su equipo de
respuesta a incidentes en curso (Computer Incident Response Team).
Es hora de responder como una industria, definir y ejecutar una doctrina
nueva de defensa basada en el intercambio de informacin, anlisis
profundos y la gestin avanzada de amenazas.
Los departamentos de TI de seguridad pasaron muchas noches largas,
tratando de averiguar qu hacer contra los atacantes furtivos, quienes no se
molestaron nada con todos los millones derramado en asegurar la
infraestructura, atacando en vez al elemento ms dbil de la cadena: los seres
humanos.
5 Conclusiones
Tal vez este incidente puede ser utilizado como un ejercicio cuando usted mira su
propia infraestructura y se preguntan qu opciones de mitigacin tienes contra ataques
similares. Le di mi opinin sobre el asunto en el blog principal, y puede resumir as:
hay una razn por la que las APTs son tan peligrosas, y tiene que decirnos algo.
Como industria, tenemos que actuar con rapidez y desarrollar una nueva doctrina de
defensa, los das felices de los viejos tiempos de hacking se han ido, y se han ido
tambin los paradigmas de defensa viejos Las nuevas amenazas requieren nuevas
estrategias.
En RSA ya estamos aprendiendo rpido, haciendo as pequeos plazos de
movimientos de endurecimiento y grandes pasos para establecer una doctrina entera
de nueva defensa. Estamos implementando tcnicas que slo un par de semanas atrs,
pens que eran en el mbito de planes de trabajo a largo plazo.
Hay ejemplos histricos de tantas campaas que parecan desesperadas en el
momento, pero se convirtieron luego a travs de la pura voluntad, creatividad y
liderazgo, estoy seguro de que en unos pocos aos, las Advanced Persistent Threats
sern familiares, forma casi corriente de ataque y que vamos a ser capaces de
desplegar defensas eficaces contra los que quieren espiar y controlar nuestra
propiedad intelectual, activos digitales y la infraestructura crtica.
Referencias
1. http://www.delitosinformaticos.com.ar/blog/category/usa/
2. http://www.f-secure.com/weblog/archives/00002226.html
3. http://blogs.rsa.com/rivner/anatomy-of-an-attack/
4. http://tecno.americaeconomia.com/noticias/los-riesgos-bancarios-tras-el-hackeo-al-
proveedor-del-digipass
5. en.wikipedia.org/wiki/SecurID
6. http://es.wikipedia.org/wiki/EMC_Corporation
7. http://www.rsa.com/rsalabs/
8. http://latinamerica.rsa.com/node.aspx?id=1156
9. http://conexioninversa.blogspot.com/2011/09/un-ataque-persistente-apt.html