RSA admite que los tokens de SecurID se han visto comprometidos y deja a las grandes empresas desprotegidas

(Crédito de la imagen: Ludovic F. Rembert a través de Privacidad Canadá)

Cuando nos enteramos en marzo de que la empresa de seguridad RSA había sido pirateada, hicimos una reverencia, sacudimos la cabeza, suspiramos con desesperación y, colectivamente, nos topamos con la palma de la mano. Cuando más tarde surgió la noticia de que su base de datos de detalles de SecurID había sido violada, nos quedamos conmocionados y consternados, pero aún esperanzados. Luego, hoy, en noticias que confirmaron la incompetencia de RSA, nos enteramos de que el intento de pirateo de la semana pasada contra Lockheed Martin, un contratista de defensa gubernamental, fue posible gracias a la violación de la base de datos de RSA.



SecurID es una solución de seguridad de contraseña de un solo uso (OTP) de dos partes. Cada usuario que necesita iniciar sesión en un sistema recibe un dongle o token SecurID físico. Cada dongle se programa con el secreto compartido de la red, que luego se mezcla con la fecha y la hora para crear la OTP. El servidor de autenticación, que también conoce el secreto compartido, genera su propia OTP y, si coinciden, el usuario puede iniciar sesión. Es una configuración muy segura, a menos que otra persona descubra el secreto compartido. En su forma actual, la autenticación en dos partes es el mejor y más fácil enfoque para proteger los sistemas.



Lo crea o no, los piratas informáticos de alguna manera lograron ingresar al sistema de RSA, navegaron hasta una base de datos llena de datos relacionados con SecurID y luego usaron esos datos para lanzar un ataque sofisticado contra Lockheed Martin, un cliente que aparentemente usa el sistema SecurID de RSA para bloquear por su red. Es casi irreconciliable, pero aparentemente RSA guardaba los secretos compartidos de cada uno de sus clientes en un formato que se podía modificar fácilmente mediante ingeniería inversa. Los piratas informáticos tomaron el secreto compartido de Lockheed de la base de datos, crearon su propia contraseña de un solo uso y luego intentaron iniciar sesión en la red de Lockheed.

La hermosa y repugnante ironía es que RSA sabía, desde el momento en que investigaron el ataque, que el objetivo final de los piratas informáticos era el robo de propiedad intelectual; sin embargo, en tres meses, RSA no pudo volver a proteger la red comprometida de Lockheed. 'Ciertas características del ataque a RSA indicaron que el motivo más probable del perpetrador era obtener un elemento de información de seguridad que pudiera usarse para atacar secretos de defensa y propiedad intelectual relacionada', escribió el presidente ejecutivo de RSA, Art Coviello en un comunicado. carta abierta a sus clientes. “(…) El jueves 2 de junio de 2011 pudimos confirmar que la información obtenida de RSA en marzo había sido utilizada como un elemento de un intento de ataque más amplio contra Lockheed Martin”, continúa la carta. El ataque fue frustrado, pero presumiblemente sólo a través de la acción heroica de El propio equipo de seguridad de TI de Lockheed.



Lockheed y RSA tuvieron suerte, en otras palabras. RSA ofrece dongles SecurID de reemplazo y solo podemos asumir que sus propios mecanismos de seguridad se han actualizado. Sin embargo, la triste verdad es que RSA debe haber tenido su base de datos más valiosa conectada a Internet de alguna manera. Cada computadora conectada a la red es finalmente hackable - y, sin embargo, una empresa de seguridad que está a cargo de proteger algunos de los secretos más valiosos del mundo lo dejó conectado. De alguna manera, RSA tomó uno de los mejores mecanismos de seguridad del mundo y lo hizo inseguro.

Leer más sobre SecurID, el ataque a Lockheed, y el ataque a RSA en marzo

Copyright © Todos Los Derechos Reservados | 2007es.com