lunes, 21 de marzo de 2011

Hack RSA


La empresa de seguridad RSA fue hackeada. Lo supimos por un aviso de esta empresa donde nos informan que se vieron afectados los dispositivos de doble autenticación llamados SecureID, que son usados en una variedad de servicios desde banca en línea hasta acceso a redes corporativas. Si tienes uno de estos cacahuates o sabes de alguien que lo tiene, tal vez esto te interese.

El aviso de RSA ya mencionado es bastante ambiguo, dice que fueron atacados por un “extremely sophisticated cyber attack in progress being mounted against RSA” y según la empresa el ataque tiene la categoría de APT (Advanced Persistent Threat).

Dicen por ahí que hasta las empresas de seguridad pueden ser hackeadas, como argumentando que “a cualquiera la puede pasar”. Ok sí, pero son empresas de s-e-g-u-r-i-d-a-d, por lo tanto se espera que entiendan los riesgos a los que están expuestos y que hagan algo al respecto (me recuerda al hackeo a la ahora infame HBGary).

Sobre todo RSA que se dedica al negocio de la autenticación, uno esperaría que cuidara los aspectos que le dan seguridad a la autenticación de los dispositivos que vende. Y por cierto, más importante que los dispositivos que vende es la confianza que vende..los clientes confían en RSA.

A la fecha yo no confiaría en los SecureID de RSA, entre que son peras o manzanas, avisos ambiguos e información escasa..debemos asumir que un aspecto de la seguridad de estas chunches fue comprometido. Punto. A menos que nos den más información esta sería mi postura, cuál es la tuya?

No hay manera de “actualizarlos” así es que una política correcta sería sustituirlos..pero claro, está el problema de la lana. Ya veremos qué acciones sigue la empresa.

Los dispositivos de doble autenticación SecureID de RSA sirven para autenticar a un usuario quien tiene un token (primer factor) el cual provee una contraseña dinámica (segundo factor de autenticación). Los atacantes al parecer se metieron con el mecanismo de la creación del segundo factor (la contraseña dinámica) por lo que (en este caso) el primer factor es irrelevante y un hacker podría interferir en el “hand-shake” de la autenticación y violá..el atacante de pronto es tú.

Me incomoda el solo hecho de que alguien haya sido capaz de entrar a lo sistemas de RSA. En cualquier caso, este tipo de empresas (como las autoridades certificadoras) venden confianza..esos dispositivos de autenticación no tienen gran ciencia. Resta ver qué tanto siguen confiando sus clientes en la seguridad de estos productos.

Nota de SecurityWeek:

Kenneth Weiss, the original inventor of the SecurID technology [said] for comment: "The SecurID technology I designed and patented has never been breached in 25 years of use. This unfortunate breach of security at RSA speaks to the quality of their internal security not the security of the SecurID token. The possession of 40,000,000 random SecurID seeds is meaningless unless a subset can be associated with a particular one of 30,000 worldwide clients and then intern directly associated with a particular client user. Even if such identification were possible, an attacker would also have to know the particular user's PIN. This information is not stored on RSA computers."