miércoles, 18 de abril de 2012

AUTENTICACIÓN CON RSA


El RSA es un sistema criptográfico con clave pública tanto para encriptado como para autenticación que fue desarrollado por Ron Rivest, Adi Shamir y Leonard Adleman en 1977.

Se basa en algoritmos matemáticos, en donde el encriptado y la autenticación se producen sin compartir ninguna clave secreta: cada persona utiliza sólo las claves públicas de otros usuarios y su propia clave privada. 

Cualquier persona puede enviar un mensaje encriptado o verificar un documento firmado por otra utilizando sólo claves públicas, pero solamente alguien que posee la clave privada correcta puede desencriptar o firmar el mensaje.

Cualquier sistema que utilice firmas digitales necesita del RSA o de algún otro sistema con clave pública. 

Supongamos que Alicia quiere enviar un mensaje firmado a Juan:
  • Utiliza una función de "hashing" en el mensaje para crear un resumen del mensaje (message digest) que sirve como huella digital del mensaje.
  • Luego, encripta el "message digest" con su clave privada RSA. Esta es la firma digital que envía a Juan junto con el mensaje.
  • Juan recibe el mensaje y la firma, desencripta la firma con la clave pública de Alicia para recuperar el "message digest".
  • Ejecuta el "hash" del mensaje con la misma función de "hash" que utilizó Alicia y compara el resultado con el "message digest'" desencriptado de la firma.
  • Si son iguales, la firma queda verificada y se puede comprobar que el mensaje proviene de Alicia. Si no son iguales el mensaje no fue enviado por Alicia, es falso.
Se debe tener en cuenta que para la autenticación o firma digital, los roles de las claves pública y privada son los opuestos que en el encriptado, donde la clave pública se utiliza para encriptar y la privada para desencriptar.

No es probable que alguien encuentre un mensaje cuyo "hash" arroje un valor predeterminado o dos mensajes cuyos "hash" arrojen el mismo valor.  Si alguna de estas alternativas fuera posible, un intruso podría adjuntar un mensaje falso a la firma de Alicia.  Las funciones de "hash" como MD4 y MD5 se han diseñado específicamente para demostrar que encontrar un número duplicado es casi imposible y se las considera apropiadas para utilizarlas en criptografía.
 
La firma digital puede estar acompañada por uno o más certificados. Un certificado es un documento firmado que atestigua la identidad del firmante y su clave pública. Su propósito es evitar que una persona se haga pasar por otra utilizando una clave pública fraudulentamente registrada por ésta en nombre de otro. Si se incluye un certificado, el receptor del mensaje (o un tercero) puede comprobar la autenticidad de la clave pública del mensaje, presuponiendo que la clave pública es confiable.
 
 
Publicado por en No hay comentarios:

viernes, 13 de abril de 2012

ATAQUE A RSA

El 18 de marzo del 2011 RSA confesó que habia sufrido un ataque dirigido en el que le robaron información relativa a su producto SecurID.

RSA Security es una de las empresas más importantes del ramo de la seguridad, por mencionar algunos de sus productos encontramos el algoritmo criptográfico de RSA (algoritmo asimétrico) de clave pública el cual es el más utilizado de su tipo actualmente (e-commerce, firma digital, transacciones en línea, entre otros usos), las bibliotecas criptográficas B-SAFE y los mecanismos de autenticación de dos factores SecurID, siendo estos últimos uno de los métodos de autenticación más utilizados en el mundo.

Su sistema de seguridad se basa en una doble autentificación. Por un lado, se utiliza una contraseña que conoce el usuario y, por otro lado, una "llave", que un autentificador físico que proporciona una nueva contraseña que se cambia cada 60 segundos.

Por lo que el ataque recibido se hace más alarmente, ya que los ataques permitieron robar información de los productos de autentificación de doble factor SecureID.

En un comunicado que entregaron a la  Securities and Exchange Commission, EMC declaró que  RSA fue víctima de un ataque altamente sofisticado, mediante el cual se apoderaron de datos confidenciales de los productos RSA SecurID.
Aseguramos  que la información sustraída no basta para atacar en forma directa y exitosa a ninguno de nustros clientes, pero sí podría ser usada como complemento a otros ataques para intentar vulnerar la autentificación de dos pasos. También confiamos en que ningún otro producto EMC haya sido vulnerado en el mismo ataque.
Tambien declaran:
        "Nuestra primera prioridad es garantizar la seguridad de los clientes y su confianza".
              Para ello, utilizarán "todos los recursos necesarios" para proporcionar a sus 
                                  clientes las "herramientas, procesos y soporte"

Además la compañía aseguró que ningún otro de sus productos fue afectado por el ataque ni tampoco quedará expuesta ninguna información personal de sus clientes o empleados de sus clientes como resultado del ataque.

COMO FUE EL ATAQUE

Según lo declarado por la RSA, el atacante envío dos correos en un periodo de dos días, a dos pequeños grupos de empleados, según ellos no se consideran usuarios de perfil alto pero hay que tener en cuenta que todos los usuarios que tengan acceso a la red deberían ser considerados como de alto riesgo y protegidos por igual. 

Se les envió un correo con el asunto "2011 Recruitment Plan" con un Excel del mismo nombre adjunto. El excel contenía en su interior un exploit 0-day(desconocido hasta el momento) que utiliza una vulnerabilidad de Adobe Flash(CVE-2011-0609) para instalar una puerta trasera en los equipos de los "usuarios" que lo han abierto. Adobe ya lo ha solucionado con un parche emitido fuera de su ciclo habitual.

Con ello los atacantes, a través de la puerta trasera, instalan una herramienta de control remoto(una variante de Poison Ivy).

Después durante un largo periodo de tiempo, los atacantes van accediendo a los sercidores de la empresa y van robando datos de su interes y así finalmente de hacen de los ficheros "semilla" para los tokens de One-Time Password que RSA comercializa.

Los tokens OTP generan un número pseudoaleatorio (pero con secuencia determinista) y permiten ser un complemento al tradicional método de usuario-y-contraseña, aportando una parte de la contraseña que cambia cada 60 segundos. Para poder acceder a un sistema protegido con este método, el usuario debe conocer su contraseña y tener el token OTP a mano (no vale con saber la contraseña). El robo de los ficheros “semilla” permite clonar tokens OTP.

Según la RSA, el ataque fue detectado por su Computer Incident Response Team mientras se estaba produciendo. Los atacantes tuvieron tiempo de hacerse una idea de la red interna y buscar usuarios con más privilegios que los infectados inicialmente. Llegaron a comprometer cuentas de administrador.

El atacante más tarde transfirió muchos ficheros RAR protegidos por contraseña desde el servidor de la RSA hacia un tercero externo y comprometido. Descargó la información, la borró de ese servidor... y se quedó con ella.

RSA sigue sin aclarar qué fue lo robado exactamente, aunque explica bien cómo funcionó el ATP y, extrayendo la información adecuada de su mensaje, podría servir como experiencia en la que apoyarse para prevenir incidentes futuros.

Conclusiones


Hay que tener en cuenta que aún siendo los encargados de la Seguridad Física/Digital en nuestra propia empresa, la seguridad no está totalmente en nuestras manos, una falla en otra compañía proveedora de servicios puede dejar nuestros sistemas totalmente expuestos, aunque se trate de una de las mejores compañías en productos y servicios de seguridad del mundo.

Ninguna empresa o persona en el mundo está exenta de un ataque cibernético y siempre que ocurre a empresas dedicadas y expertas en seguridad informática es aún más impactante.  

RSA fabrica soluciones de seguridad, de monitorización, de correlación de eventos, de antivirus, y muchas cosas más y a pesar de eso no les ha servido de nada porque alguien ha abierto un fichero que no debería haber abierto y provoca la perdida de millones de dólares en gestionar la crisis y compensar a sus clientes, solo por haber cumpido o llevado a cabo las Políticas de Seguridad de la empresa. Debieron de haber fortalecido al eslabon más debil y tomado en cuenta que ningun usuario que tiene acceso a la red tiene un perfil bajo.

El producto de RSA de monitorización y correlación de eventos (Envision) debería haberlo detectado y generado un incidente.

Consecuencias


Aunque RSA se ha esforzado en informar a sus clientes sobre la fuga de datos, aún se desconoce hasta que punto amenaza la seguridad de SecurID. Es posible que los hackers tengan acceso al sistema de generación de contraseñas aleatorias, lo que obligará a RSA a distribuir nuevos "tokens" para solucionar el problema.

En el caso de que los hackers pudieran haber obtenido datos internos detallando las debilidades del sistmea SecurID, o hasta sobre el algoritmo que genera los números, ésto permitiría anticipar las debilidades de cualquier solución substituta de despliegue y la única solución requeriría la creación de un sistema de generación nuevo.

Por el momento RSA solo ha enviado una serie de consejos de seguridad genéricos que, aunque ayudarán a las empresas que utilizan este sistema de protección informática, no proporcionan ninguna clarificación sobre la extensión de los daños del ataque. 

RSA es la división de seguridad de la empresa EMC, pero parece que sus productos tampoco corren peligro después del ataque. EMC dice que no espera sufrir consecuencias económicas de mayor calibre, pero teniendo en cuenta que el SecurID controla el 70% del mercado de autenticación doble, parece un poco difícil de creer.

Bibliografía


http://unaaldia.hispasec.com/2011/04/el-ataque-la-rsa-se-produjo-traves-de.html
http://blog.segu-info.com.ar/2011/06/sobre-el-ataque-rsa-y-lockheed-martin.html#axzz1rwgT3F1l
http://hacking.mx/noticias/atacan-a-rsa-security/
http://www.rsa.com/node.aspx?id=3872

Publicado por en No hay comentarios:
Suscribirse a: Entradas (Atom)