Los detalles sobre los ataques cibernéticos contra la reciente firma de seguridad RSA sugieren que los atacantes pueden haber estado provocando a la gigante de la industria y los Estados Unidos antes de que se estaban robando los secretos de una compañía cuya tecnología se utiliza para asegurar que muchos bancos y agencias gubernamentales.
A principios de este mes, RSA, reveló que "un ciber ataque extremadamente sofisticados" que afectan a su unidad de negocio "dio lugar a cierta información que se extrae de los sistemas de RSA que se refiere a la SecurID de dos factores de autenticación de productos de
RSA." La empresa tuvo la precaución de advertir que mientras que los datos recogidos no permitir que un ataque directo con éxito en cualquiera de sus SecurID clientes, la información "potencialmente podría ser utilizado para reducir la efectividad de un factor de autenticación de aplicación en dos corrientes, como parte de un ataque más amplio".
Que la divulgación parece tener sólo avivó las llamas de la especulación que gira alrededor de esta historia, y una serie de bloggers y expertos han esbozado escenarios de lo que podría haber sucedido. Sin embargo, hasta ahora, muy pocos datos sobre el ataque en sí se ha hecho público.
El día de hoy, tuve la oportunidad de revisar un documento no clasificado de la EE.UU. Computer Emergency Readiness Team (US-CERT) , que incluye una pequeña cantidad de datos ataque: una lista de dominios que fueron utilizados en la intrusión de RSA.
Algunos de los nombres de dominio en la lista sugiere que los atacantes tenían (o quería dar la impresión de tener) el desprecio por los Estados Unidos. Entre los dominios utilizados en el ataque (espacio extra es intencional en los enlaces inferiores, que deben ser consideradas hostiles):
usgoodluck www. com
obama. servehttp. com
República Popular China. dynamiclink. ddns. nosotros
Tenga en cuenta que el dominio última lista incluye la abreviatura de "República Popular China", que podría ser una finta inteligente, o podría ser atacantes chinos frotarse la nariz en ella, como diciendo, "Sí, fue gente de la República de China que atacó : ¿Qué vas a hacer al respecto?
La mayoría de los dominios se remontan a los llamados proveedores de DNS dinámico , por lo general servicios gratuitos que permiten a los usuarios cuentan con sitios Web alojados en servidores que cambian frecuentemente sus direcciones de Internet. Este tipo de servicio es útil para personas que quieren alojar un
sitio Web en una base de direcciones de Internet en casa que pueden cambiar de vez en cuando, porque los servicios de DNS dinámico se puede utilizar para asignar fácilmente el nombre de dominio de usuario nueva dirección de Internet cada vez que que pasa con el cambio.
Desafortunadamente, estos proveedores de DNS dinámico son muy populares en la comunidad atacante, debido a que permiten los malos para mantener sus programas maliciosos y sitios fraudulentos hasta incluso cuando los investigadores sarna para seguir atacando a la dirección IP y convencer a los ISP responsable de que la dirección de desconectar el malhechor. En tales casos, DNS dinámico permite que el propietario del
dominio atacante simplemente redirigir el lugar del ataque a otra dirección de Internet que él controla.
Sam Norris , fundador de ChangeIP.com , el proveedor de DNS dinámico responsable de muchos de los dominios raíz del US-CERT de la lista, dijo que ponía fin a todas las cuentas en la lista tan pronto como
US-CERT publicó la lista el 18 de marzo ( a pesar de que la versión de la lista no menciona la conexión RSA). Norris pronto se puso en contacto por correo electrónico por el titular de la cuenta que utilizó la República Popular China. dynamiclink. DDNS. nos de dominio. Norris dijo que el titular de la cuenta quería saber la razón fue matado a su dominio.
"Este tipo me ha estado enviando un correo electrónico, me pide la cuenta atrás, diciendo cosas como" Hey, yo tenía cosas importantes en ese dominio, y tengo que volver, "dijo Norris. "Los chicos malos están definitivamente interesados en recuperarlo, lo que significa que probablemente cortar sus comunicaciones o lo hizo de modo que no puede limpiar su rastro después."
Gran parte de la especulación pública sobre el ataque a RSA hasta ahora ha recurrido al término "amenaza persistente avanzada" o APT, que es la abreviatura de seguridad para la industria "Estamos bastante seguros de que viene de China." Por lo menos en cuanto a los dominios que se enrutan a través de ChangeIP.com se
refiere, que la evaluación parece sostenerse (con la salvedad habitual que los atacantes pueden enrutar su tráfico a través de máquinas en cualquier parte del mundo en un intento por ocultar su verdadera ubicación).
"Noventa y nueve por ciento de las veces, cuando estos chicos se conectó a una de sus cuentas para cambiar la dirección IP de un dominio, que venían de una dirección de China", dijo Norris.
Una mirada más de cerca a algunos de los dominios también se indica el uso de algunas herramientas de ataque conocidos que han sido asociadas con anteriores ataques selectivos atribuidos a, patrocinada por el estado-los hackers chinos. Por ejemplo, uno de los pocos dominios en la lista no conectado a un servicio de
DNS dinámico -. Mincesur com - ha sido una conocida fuente de descarga, bueno para "Poison Ivy", una herramienta de ataque ligero que los atacantes han usado un poco en los anteriores ataques pinchazo (PDF) para administrar de forma remota los sistemas hackeados y aspirador de la información de las máquinas.
Interesante ya que estos chismes de los datos puede ser, no responder a las preguntas que parecen estar en la mente de todos sobre el ataque RSA: ¿Cuánta información se recibe a los atacantes, y pueden las organizaciones siguen confiando SecurID fichas como un mecanismo de autenticación? Un portavoz de RSA
dijo que la compañía no estaba dispuesta a revelar públicamente más detalles sobre el ataque. Varias fuentes dicen RSA recientemente informó de un pequeño grupo de líderes de la industria y el cliente, que contiene más informaciones sobre el ataque, pero esa gente tuvo que firmar un acuerdo de confidencialidad que les impide discutir los detalles.
Desde la revelación inicial de RSA, he recibido muchos correos electrónicos de lectores solicitando mi opinión sobre el ataque. He evitado escribir sobre esto porque yo no tenía mucho que añadir a la información inicial , que sigue siendo muy especulativo, a falta de más detalles de RSA. Y como leí de arriba a lo que he
escrito arriba, puedo ver este post que parece especulativa también. En cuanto a la tecnología de RSA, he tomado nota de una historia tras otra que en tiempo un símbolo, como los generados por Llaves de RSA SecurID son mejores que las contraseñas para la autenticación simple, pero no por mucho. Hoy en día las
herramientas de ataque permite a los chicos malos para controlar no sólo las víctimas de la PC, sino también lo que las víctimas ven en su navegador de Internet. an escrito acerca de una serie de ataques con éxito en el que los ladrones se la información que necesitaban para derrotar a las fichas y vaciar cuentas bancarias
mediante la inyección de contenido a la víctima el navegador. El último ataque contra RSA sirve para aumentar la sospecha, incluso si carece de fundamento, que el producto puede no proporcionar la suficiente protección para el usuario.
A principios de este mes, RSA, reveló que "un ciber ataque extremadamente sofisticados" que afectan a su unidad de negocio "dio lugar a cierta información que se extrae de los sistemas de RSA que se refiere a la SecurID de dos factores de autenticación de productos deRSA." La empresa tuvo la precaución de advertir que mientras que los datos recogidos no permitir que un ataque directo con éxito en cualquiera de sus SecurID clientes, la información "potencialmente podría ser utilizado para reducir la efectividad de un factor de autenticación de aplicación en dos corrientes, como parte de un ataque más amplio".
Que la divulgación parece tener sólo avivó las llamas de la especulación que gira alrededor de esta historia, y una serie de bloggers y expertos han esbozado escenarios de lo que podría haber sucedido. Sin embargo, hasta ahora, muy pocos datos sobre el ataque en sí se ha hecho público.
El día de hoy, tuve la oportunidad de revisar un documento no clasificado de la EE.UU. Computer Emergency Readiness Team (US-CERT) , que incluye una pequeña cantidad de datos ataque: una lista de dominios que fueron utilizados en la intrusión de RSA.
Algunos de los nombres de dominio en la lista sugiere que los atacantes tenían (o quería dar la impresión de tener) el desprecio por los Estados Unidos. Entre los dominios utilizados en el ataque (espacio extra es intencional en los enlaces inferiores, que deben ser consideradas hostiles):
Una lista parcial de los dominios utilizados en el ataque contra RSA
obama. servehttp. com
República Popular China. dynamiclink. ddns. nosotros
Tenga en cuenta que el dominio última lista incluye la abreviatura de "República Popular China", que podría ser una finta inteligente, o podría ser atacantes chinos frotarse la nariz en ella, como diciendo, "Sí, fue gente de la República de China que atacó : ¿Qué vas a hacer al respecto?
La mayoría de los dominios se remontan a los llamados proveedores de DNS dinámico , por lo general servicios gratuitos que permiten a los usuarios cuentan con sitios Web alojados en servidores que cambian frecuentemente sus direcciones de Internet. Este tipo de servicio es útil para personas que quieren alojar un
sitio Web en una base de direcciones de Internet en casa que pueden cambiar de vez en cuando, porque los servicios de DNS dinámico se puede utilizar para asignar fácilmente el nombre de dominio de usuario nueva dirección de Internet cada vez que que pasa con el cambio.
Desafortunadamente, estos proveedores de DNS dinámico son muy populares en la comunidad atacante, debido a que permiten los malos para mantener sus programas maliciosos y sitios fraudulentos hasta incluso cuando los investigadores sarna para seguir atacando a la dirección IP y convencer a los ISP responsable de que la dirección de desconectar el malhechor. En tales casos, DNS dinámico permite que el propietario del
dominio atacante simplemente redirigir el lugar del ataque a otra dirección de Internet que él controla.
Sam Norris , fundador de ChangeIP.com , el proveedor de DNS dinámico responsable de muchos de los dominios raíz del US-CERT de la lista, dijo que ponía fin a todas las cuentas en la lista tan pronto como
US-CERT publicó la lista el 18 de marzo ( a pesar de que la versión de la lista no menciona la conexión RSA). Norris pronto se puso en contacto por correo electrónico por el titular de la cuenta que utilizó la República Popular China. dynamiclink. DDNS. nos de dominio. Norris dijo que el titular de la cuenta quería saber la razón fue matado a su dominio.
"Este tipo me ha estado enviando un correo electrónico, me pide la cuenta atrás, diciendo cosas como" Hey, yo tenía cosas importantes en ese dominio, y tengo que volver, "dijo Norris. "Los chicos malos están definitivamente interesados en recuperarlo, lo que significa que probablemente cortar sus comunicaciones o lo hizo de modo que no puede limpiar su rastro después."
Gran parte de la especulación pública sobre el ataque a RSA hasta ahora ha recurrido al término "amenaza persistente avanzada" o APT, que es la abreviatura de seguridad para la industria "Estamos bastante seguros de que viene de China." Por lo menos en cuanto a los dominios que se enrutan a través de ChangeIP.com se
refiere, que la evaluación parece sostenerse (con la salvedad habitual que los atacantes pueden enrutar su tráfico a través de máquinas en cualquier parte del mundo en un intento por ocultar su verdadera ubicación).
"Noventa y nueve por ciento de las veces, cuando estos chicos se conectó a una de sus cuentas para cambiar la dirección IP de un dominio, que venían de una dirección de China", dijo Norris.
Una ilustración de un ataque dirigido que se utiliza la hiedra venenosa. Imagen: Mandiant
DNS dinámico -. Mincesur com - ha sido una conocida fuente de descarga, bueno para "Poison Ivy", una herramienta de ataque ligero que los atacantes han usado un poco en los anteriores ataques pinchazo (PDF) para administrar de forma remota los sistemas hackeados y aspirador de la información de las máquinas.
Interesante ya que estos chismes de los datos puede ser, no responder a las preguntas que parecen estar en la mente de todos sobre el ataque RSA: ¿Cuánta información se recibe a los atacantes, y pueden las organizaciones siguen confiando SecurID fichas como un mecanismo de autenticación? Un portavoz de RSA
dijo que la compañía no estaba dispuesta a revelar públicamente más detalles sobre el ataque. Varias fuentes dicen RSA recientemente informó de un pequeño grupo de líderes de la industria y el cliente, que contiene más informaciones sobre el ataque, pero esa gente tuvo que firmar un acuerdo de confidencialidad que les impide discutir los detalles.
Desde la revelación inicial de RSA, he recibido muchos correos electrónicos de lectores solicitando mi opinión sobre el ataque. He evitado escribir sobre esto porque yo no tenía mucho que añadir a la información inicial , que sigue siendo muy especulativo, a falta de más detalles de RSA. Y como leí de arriba a lo que he
escrito arriba, puedo ver este post que parece especulativa también. En cuanto a la tecnología de RSA, he tomado nota de una historia tras otra que en tiempo un símbolo, como los generados por Llaves de RSA SecurID son mejores que las contraseñas para la autenticación simple, pero no por mucho. Hoy en día las
herramientas de ataque permite a los chicos malos para controlar no sólo las víctimas de la PC, sino también lo que las víctimas ven en su navegador de Internet. an escrito acerca de una serie de ataques con éxito en el que los ladrones se la información que necesitaban para derrotar a las fichas y vaciar cuentas bancarias
mediante la inyección de contenido a la víctima el navegador. El último ataque contra RSA sirve para aumentar la sospecha, incluso si carece de fundamento, que el producto puede no proporcionar la suficiente protección para el usuario.
No hay comentarios:
Publicar un comentario