Leía la semana pasada el cómo (y por qué) (EN) la Syrian Electronic Army había atacado la página web de la RSA, y me pareció interesante dejarlo por aquí con un pequeño corolario que bien nos viene a todos.
Todo se remonta a finales de Febrero, cuando entre el ciclo de conferencias de la RSA, Ira Winkler dio la suya sobre las tácticas «aparentemente simplonas» del SEA para atacar servicios de internet. Razón no es que le falte, como veremos a continuación, pero hay que reconocer que al menos son efectivas.
Entre el círculo de seguridad se suele apodar cockroach (cucaracha) a este tipo de atacantes. Versiones simplificadas que buscan la efectividad por encima de la lindeza de la seguridad informática, y que por tanto son vistas como un insulto a la profesión.
El SEA respondió, dejando la web durante horas con un cartel colgado dirigido hacia Ira, como puede esperar, con no pocas lindezas.
De toda la historia me gustó sobremanera los métodos usados por el SEA para tomar el control de la web de la convención de seguridad más importante del mundo. No tienen desperdicio:
- Análisis: La mayoría de webs utilizan diferentes servicios externos para según qué cosa. En el caso que nos compete, se utilizaba un servicio para cuantificar el tráfico a la web. Todo servicio externo tiene que hacer por tanto peticiones a dominios externos, que en el de la RSA llamaba a un archivo js dentro del dominio w1.livestatserver.com.
- Ejecución: El SEA obtuvo la información del proveedor de ese dominio, y lanzó una campaña de phishing mediante LinkedIN (entre otras redes) a los trabajadores de la compañía, haciéndose pasar por el CEO de la misma, y con la esperanza de que algún directivo cayera.
- Retorno: Teniendo las credenciales de acceso de alguno de sus trabajadores, redirigieron esa petición del dominio hacia otro controlado por el SEA, que mostraba el cartel. Al cargarse la página de la RSA, se cargaba por tanto la redirección, que era lo que se acababa mostrando.
¿Es elaborado? No mucho ¿Es efectivo? No hay duda.
¿Qué podemos sacar en claro de todo esto? La importancia de las medidas de seguridad ya no solo por nuestra parte, sino por los propios proveedores, y en definitiva por cualquier pieza de la cadena, desde el comienzo (usuario) hacia final (red).
Los atacantes se aprovecharán de la poca comunicación que hay entre las distintas capas, así como el desconocimiento en alguna de ellas. Está claro que los desarrolladores de la página de la RSA habrán tenido muy a consideración la seguridad en la creación y mantenimiento de la misma, pero poco pueden hacer cuando hay eslabones fuera de su control más débiles, como es el caso.
También me queda ese regustillo ácido de impotencia, ya que aunque todos los encargados técnicos en las diferentes capas tengan el buen criterio de discriminar y evitar ataques de ingeniería social, una política demasiado permisiva con los de arriba puede como en este caso acarrear problemas serios a la integridad de toda la arquitectura (directivos con acceso a configuraciones que no necesitan). Una situación realmente compleja de solucionar (implantación de una correcta división de permisos y BYOD parecen un buen comienzo), y que reafirma el dicho de que «quien la sigue, la consigue».
¿»La RSA respondió» o el SEA respondió?
El SEA. Perdón, ya lo he corregido ¡Gracias por avisar!