miércoles, 17 de abril de 2013

ATAQUE A RSA

En marzo del 2011, RSA sufrió un ataque dirigido, en el cual le robaron información relativa a su famoso producto SecurID.El ataque comenzó cuando, dos grupos pequeños de empleados recibieron dos correos en un periodo de dos días. RSA concreta que "no se consideraría a estos usuarios particularmente de perfil alto u objetivos valiosos".  Se les envió un correo con el asunto "2011 Recruitment Plan" con un Excel del mismo nombre adjunto.

El Excel contenía en su interior un fallo no conocido hasta el momento en Flash, que permitía la ejecución de código.  El 14 de marzo,  Adobe anunció que sabía que una vulnerabilidad desconocida estaba siendo aprovechada para atacar sistemas, esta vulnerabilidad apareció a causa de este ataque, Adobe solucionó esto, con un parche.
Cuando los atacantes instalaron una variante de RAT(herramienta de administración remota) Poison Ivy crearon una conexión inversa hacia un servidor del que era dueño el atacante. De tal manera que fue más difícil de detectar por que las conexiones de este tipo están cifradas y en puertos estándares que no levantas sospechas

Según la RSA, el ataque fue detectado por su Computer Incident Response Team mientras se estaba produciendo. Sin embargo, los atacantes tuvieron tiempo de hacerse una idea de la red interna y buscar usuarios con más privilegios que los infectados inicialmente. Llegaron a comprometer cuentas de administrador. Posteriormente, el atacante transfirió varios archivos RAR protegidos por contraseña desde el servidor de la RSA hacia un tercero externo y comprometido. Descargó la información, la borró de ese servidor  y se quedó con ella.
RSA no ha podido establecer qué fue lo robado exactamente, así pues se desconoce hasta qué punto amenaza la seguridad del securID
Además existe la posibilidad de que  hackers tengan acceso al sistema de generación de contraseñas aleatorias, obligando así a que rsa tenga que distribuir nuevos ‘tokens' para solucionar el problema.  En otro caso, el atacante pudo haber datos internos obteniendo las debilidades del sistema securID, o hasta sobre el algoritmo que genera los números, también cabe la posibilidad que el ciberataque fuera menos efectivo de lo que se pueda pensar.
RSA solo ha enviado una serie de consejos de seguridad genéricos que, aunque ayudarán a las empresas que utilizan este sistema de protección informática.

  
CONCLUSIONES

Es importante  mantener informado a todo los usuarios de nuestra red u organización de  los peligros que con lleva realizar ciertas acciones, en este caso,  los riesgos de abrir un correo sin antes  autentificar al remitente.
Actualmente existen muchas herramientas que permiten controlar los equipos remotamente, lo que genera grandes riesgos si no se cuenta con un buen control de acceso, y configuraciones que permitan limitar las acciones que puede realizar cada usuario.
Además, en este caso sigue la incertidumbre de la magnitud de este ataque, pues no se sabe que información fue robada y hasta qué punto el atacante tuvo acceso.


REFERENCIAS

http://unaaldia.hispasec.com/2011/04/el-ataque-la-rsa-se-produjo-traves-de.html
http://networksecurity.bligoo.com.mx/ataque-a-rsa-y-sus-implicaciones#.UW7iObWQVgg
Publicado por en No hay comentarios:

lunes, 15 de abril de 2013

HMAC


 Mecanismo de autenticación de mensajes (proteger la integridad de la información).
Las funciones hash criptográficas generalmente se ejecutan más rápidamente que los algoritmos de cifrado convencional  como el DES.
Utiliza la función de hash y clave secreta para su implementación. Por lo tanto, eso te ofrece menos vulnerabilidad que solo encriptación o hash. La RFC 2104 propone el uso de HMAC ,que es una autenticación en entornos seguros como SSL mediante una operación MAC en la que intervenga una función hash.

En el RFC 2104 presenta los siguientes objetivos:
  • Usar, sin modificaciones, las funciones Hash disponibles.
  • Permitir la sustitución fácil de la función Hash empotrada en caso de que se encuentre o se necesiten funciones Hash más rápidas o seguras.
  • Preservar el funcionamiento original de la función Hash sin incurrir en una degradación significativa.
  • Usar y manejar claves de forma sencilla.
  • Tener un análisis criptográfico compresible de la robustez del mecanismo la autentificación basado en suposiciones razonables sobre la función Hash empotrada.


ALGORITMO

 M = mensaje de entrada incluyendo el relleno.
 H = alguna función hash como MD5 (128 bits) o SHA-1 (160 bits).
 Yi= bloque iésimo de M.
L = número de bloques en M.
  b = número de bits en cada bloque (512).
  n = longitud del resumen del hash ocupado en el sistema (128 / 160 bits).
 K = clave secreta (160 bits) aunque se recomienda sea mayor que n. Si la clave K es mayor que b, esta clave se hace pasar antes por la función hash para reducirla a una clave de n bits.
K+= clave K con ceros añadidos a la izquierda para alcanzar b bits.
ipad= 00110110 octeto repetido b/8 (64) veces.
 opad= 01011010 octeto repetido b/8 (64) veces.


1. Añadir ceros a la izquierda de k para crear un bloque k+ de b bits. Por ejemplo si k tiene una longitud de 160 bits y b = 512 entonces se añadirá 352 bits a 0 .

2. Aplicar el XOR( OR exclusivo bit a bit) a k+ con ipad para producir el bloque de b bits Si.

3. Añadir M a Si.

4. Aplicar H al bloque generado en el paso anterior. 

5. Aplicar el XOR a k+ con opad para producir el bloque de b bits So.

6. Anadir el resultado Hash de paso 4 a So.

7. Aplicar H al flujo generado al paso 6 y extraer el resultado



De tal manera que HMAC haría lo siguiente:





REFERENCIAS

http://networksafe.files.wordpress.com/2012/03/presentacion-hmac2.pdf

(Stallings, William). (2004). Fundamentos de seguridad en redes: aplicaiones y estándares. 2a Edición. PEARSON.


Publicado por en 1 comentario:
Suscribirse a: Entradas (Atom)