Dettagli sull’attacco a RSA

RSA ha pubblicato un po’ di dettagli sull’attacco che ha subito nei giorni scorsi. Prima di tutto, vorrei precisare che non ci sono dettagli su cosa è stato “rubato”. Sento molta preoccupazione riguardo ai prodotti “SecureID” e ad una loro eventuale compromissione. Non mi è ben chiaro il motivo di tanta apprensione: contrariamente a quanto molti ritengono, l’algoritmo, almeno quello originale, non è più segreto da tempo, e a meno di grosse sviste da parte di RSA non c’è motivo per cui lo debba essere (non più che per uno qualsiasi dei tanti prodotti di questo tipo che ci sono in giro). L’unica preoccupazione, mi pare, potrebbe essere un eventuale algoritmo o database che associ i numeri di serie ai seed dei token, che potrebbero essere  d’altra parte del tutto casuali. Che qualcosa sia stato sottratto è stato confermato anche in questo post da RSA, ma non dobbiamo dimenticare che RSA non produce solo secureID, e che è parte di un gruppo che ha altri prodotti sulla cresta dell’onda. Il “furto” potrebbe quindi aver riguardato tutt’altro, magari anche “semplice” proprietà intellettuale.

Comunque sia, il post riguarda le modalità di attacco. L’attacco inizia con del phishing mirato e uno 0-day di Flash. Il phishing mirato (il termine di moda è spear phishing) è uno strumento estremamente potente. Io stesso ho avuto occasione di utilizzarlo in attività di “sensibilizzazione”, e il risultato sono state password come se piovesse. Il fatto è che siamo ormai più o meno tutti abituati al phishing generico, che riguarda la banca, o le Poste, o i servizi online più diffusi. Ma la maggior parte degli utenti viene presa con la guardia completamente abbassata quando ad esempio la mail fa riferimento più specifico all’azienda in cui lavora, o alle sue abitudini meno “generiche”. Se a questo ci aggiungiamo uno 0-day, che eviti quindi di far suonare troppi campanelli, il più (cioè mettere un piendino nell’azienda) è fatto. Il bello è che giusto un paio di anni fa sentivo dire da molti che il periodo degli 0-day era finito 😉 Invece, sulla sempre più diffusa “scoperta” di attacchi mirati che fanno uso di 0-day, sono sempre più convinto dell’idea che ce ne siano molti più di quanti si crede e che si scoprano solo quando l’attacco viene per qualche motivo allo scoperto, come per Stuxnet o RSA.

Comunque sia, questa prima fase sembra aver permesso di installare un trojan che si è messo in contatto con il suo “padrone” con una connessione in uscita. Le connessioni in uscita sono molto difficili da controllare, perché in generale un utente interno qualsiasi è autorizzato a contattare “qualsiasi indirizzo”, salvo eventualmente un’irrilevante black list di siti porno e simili, e quindi è banale realizzareun covert channel, ad esempio in una query http. Qui bisogna dire che il racconto di RSA ha una piccola caduta di stile quando dice che “When it comes to APTs it is not about how good you are once inside, but that you use a totally new approach for entering the organization.  You don’t bother to just simply hack the organization and its infrastructure; you focus much more of your attention on hacking the employees. One cannot stress enough the point about APTs being, first and foremost, a new attack doctrine built to circumvent the existing perimeter and endpoint defenses“. Mah, sai la novità. Comunque, dopo un lungo rant che sembra mirare a trasformare la crisi in opportunità ;), ci dicono che “the attack was detected by its Computer Incident Response Team in progress. I’ve been talking to many CISOs in corporations that were hit by similar APTs and a lot of companies either detected the attacks after months, or didn’t detect them at all and learned about it from the government“; questo depone certamente a loro favore. Come ho già detto, se è vero, come è vero, che dobbiamo abituarci a vivere “compromessi”, allora è chiaro che la capacità di monitorare la situazione e intervenire per confinare l’attacco e poter limitare i danni è fondamentale. Questo non vuole dire comprare un IDS, ma appunto avere uno CSIRT attivo e un’infrastruttura che lo supporti.

Comunque sia, una volta acquisito un account di basso profilo nell’azienda, la minaccia ha cominciato a “guardarsi intorno” e a cercare un’escalation verso profili più interessanti. Cito ancora l’atteggiamento corretto di RSA:”This is one of the key reasons why, having failed to prevent the initial social engineering phase, detecting it quickly is so important. In many of the APTs publicized in the last 18 months the attackers had months to do digital “shoulder surfing” on the attacked users, map the network and the resources, and start looking for a path to the coveted assets they desired.” E ancora: “If the attacker thinks they can exist in the environment without being detected, they may continue in a stealth mode for a long while. If they think they run the risk of being detected, however, they move much faster and complete the third, and most “noisy”, stage of the attack. Since RSA detected this attack in progress, it is likely the attacker had to move very quickly to accomplish anything in this phase.“. Ora ci possiamo chiedere quante delle nostre aziende e organizzazioni, se un account di utente non privilegiato fosse compromesso, si accorgerebbero di attività come quelle descritte. Certo, non tutti sono RSA, ma d’altra parte questo è il tipo di minacce con cui bisognerà confrontarsi sempre più spesso.

Il post aggiunge un’appendice, che dovrebbe fornire più dettagli  e che invece dice veramente poco, e un riferimento ad un altro post su come RSA vorrebbe affrontare le APT. Ora, a parte le chiacchiere questo ulteriore post parte veramente male: “2003 was the year of Phishing. The early attacks hit the confused financial sector, and IT Security departments found out the fraudsters can empty bank accounts without actually hitting the bank’s infrastructure. They just couldn’t believe it.“. Le cose non sono andate così e non vanno quasi mai così. Succede molto raramente che uno scenario di attacco non sia stato ampiamente anticipato da chi si occupa di sicurezza. Quando un attacco si diffonde, quello che succede è che si dice: “Toh, qualcuno ha cominciato a farlo”. Chi si occupa di sicurezza viene naturalmente sorpreso da una nuova tecnica, come è stato ad esempio con il cross-site scripting, ma non certo da quello che è successo a RSA. Il problema di chi si occupa di sicurezza, casomai, è che grida “al lupo” troppo presto: fa presente che un certo tipo di attacco è possibile r che bisogna proteggersi, e in azienda gli chiedono: “ma chi lo ha già subito?” Alla risposta “quasi nessuno”, l’azienda tipicamente risponde che allora per il momento investirà da qualche altra parte 😉 E le APT non hanno niente di nuovo, se non che per il furto di proprietà intellettuale si sta probabilmente creando un mercato più interessante. Curiosamente, cita Mitnick come se ignorasse che il suo campo è stato soprattutto quello del social engineering. Ma naturalmente l’autore ha ragione quando dice che seppure le (grandi) banche siano ormai abituate al phishing, l’industria è ancora del tutto impreparata ad attacchi mirati.

 

This entry was posted in ict, Sicurezza and tagged , , , , . Bookmark the permalink.