Análisis del hackeo a #Bit9

party-eNota de Juan Carlos Vázquez para bSecure. En esta publicación se ha tocado hasta el cansancio el tema de los ciberataques. De hecho, creo que es el tema principal del medio de comunicación, así que en pocas palabras su existencia está atada al crecimiento, evolución e impacto del crimeware en el mundo.

Y vaya que en los últimos años hemos tenidos material de sobra para analizar. Desde 2010, el mundo clandestino de los cibercriminales, hacktivistas y ciber espías nos dejó en claro que no existe empresa en el planeta que sea inmune a un ciberataque, incluso si tu negocio mismo es la ciberseguridad.

Recordemos en 2011 a RSA, con un ataque que involucró información relacionada con su solución de autenticación de doble factor. Poco tiempo después Symantec se agregó a la lista y reveló que había sido foco de una brecha, donde parte del código fuente de sus soluciones de endpoint fue comprometido.

Si las firmas de seguridad IT son blanco, el resto de las organizaciones con más razón. Arrancamos 2013 con los ya famosos hackeos a medios de comunicación estadounidense Washington Post, The Wall Street Journal, The New York Times. ¡Ah! Por poco olvido el ataque al Departamento de Energía de Estados Unidos y las más de 250,000 cuentas de Twitter comprometidas, como reflejo de la vulnerabilidad en Java que Oracle decidió corregir justo esta semana.

La semana pasada le tocó a Bit9, aunque el proveedor ya liberó una actualización para corregir la vulnerabilidad, nos enteramos de que la empresa —ampliamente reconocida en el mercado por su solución de “Listas Blancas de aplicaciones”— fue comprometida y la brecha fue aprovechada para distribuir malware con al menos tres de sus clientes (entre los que están firmas minoristas, bancos, agencias federales y de seguridad nacional y energía).

Uno de los primeros en reportarlo fue el famoso Brian Krebs, a través de su conocido blog KrebsonSecurity, quien ventiló que la red corporativa de Bit9 había sido objeto de un ciberataque y que el mismo proveedor ya había recibido reportes de algunos de sus clientes que aseguraban haber detectado códigos maliciosos dentro de las redes protegidas por la solución de Bit9. Al estar comprometida la aplicación, el malware era aprobado como aplicación legítima por el sistema.

Las soluciones de listas blancas de aplicaciones, tienen como objetivo impedir que código no autorizado (fuera de esa lista) se ejecute dentro de un sistema (incluyendo al malware por supuesto) y que únicamente las aplicaciones confiables y permitidas sean empleadas por el usuario final.

Si bien entendemos que los entornos como servidores o plataformas de uso específico como equipos SCADA, Puntos de ventas, Kioscos o Cajeros ATM por mencionar algunos son mucho más fáciles de controlar por su entorno estático, la realidad es que la proliferación del malware y amenazas avanzadas han detonado que este tipo de soluciones se extiendan de manera generalizada, incuso dentro de los ambientes de computadoras, que por supuesto son más dinámicos, la exposición es mucho mayor y en los que el “Antivirus” tradicional ya no es suficiente.

En algunos casos, la lista blanca de aplicaciones generada para las PC, permite agregar esquemas de protección de memoria que hacen más atractivo este tipo de software para las organizaciones, pues pueden garantizar seguridad ante vulnerabilidades de día cero y exploits que se encuentren en campo.

De esta forma, el programa crea un modelo de confianza en el que únicamente determinados “entes o usuarios” están autorizados para realizar cambios o alterar la integridad de los equipos de cómputo. El proceso normalmente es definido mediante una política centralizada que se aplica a todos los sistemas. Precisamente, el resultado de la intrusión a Bit9 consistió en que una política de este tipo y aplicada a un equipo, confiará ciegamente en las aplicaciones y ejecutará cualquier “programa” que viniera firmado por el mismo Bit9, sin importar si se tratará malware.

Previo a corregir el ataque, el proveedor de seguridad publicó en su sitio Web lo siguiente:

“Debido a un error operativo dentro de Bit9, hemos fallado en el instalar nuestro propio producto dentro de un grupo de equipos como parte de nuestra red. Como resultado, un tercero malicioso fue capaz de obtener ilegalmente el acceso temporal a uno de nuestros certificados digitales para firmar código y que entonces fueron usados para autorizar ilegítimamente malware. No hay señal de que esto fuera el resultado de un problema con nuestro producto e igualmente nuestra investigación muestra que el mismo no fue comprometido.

“Simplemente no seguimos las mejores prácticas que nosotros mismos recomendamos a nuestros clientes, asegurándonos que de nuestro producto estuviera en todos los servidores físicos y virtuales dentro de Bit9.”

La firma afortunadamente no tardó mucho en reaccionar, cuatro días después del incidente había liberado una actualización y breves recomendaciones para los clientes.

El mismo CTO de la compañía Harry Sverdlove, publicó en su blog corporativo que Bit9 pronto publicará más información a clientes, medios y expertos sobre  cómo y por qué ocurrió el ataque.

“Cuando he tenido la oportunidad de hablar en conferencias o reuniones con empresas, siempre subrayo la importancia de tener un discurso abierto y honesto acerca de compartir inteligencia. Usted puede estar seguro de que nuestros enemigos están compartiendo inteligencia, información de mercado y apoyándose el uno al otro para ser más eficaces. Nosotros, como los defensores de los datos, tenemos que hacer lo mismo.

“Ya hemos compartido los hashes criptográficos de todos los archivos que conocemos que se firmaron maliciosamente, tanto con nuestros clientes, como con la comunidad de seguridad. Compartiremos más información en el momento adecuado. La investigación está en curso. No vamos a compartir detalles que comprometan a nuestros clientes o violen su confidencialidad, ni vamos a compartir información que ponga en peligro nuestra propia seguridad. Para cualquiera que haya estado involucrado en una investigación de este tipo, ya sabes que la información absoluta o completa no es siempre posible, así que no puedo prometer que cada pieza del rompecabezas será revelado. Esa es la verdad pura y simple”, escribió claro y conciso el CTO de la firma.

Ironías de la vida

El caso de Bit9 resulta un tanto irónico ya que la compañía constantemente ha comentado que el famoso programa de “Antivirus” no es suficiente ante las miles de variantes de amenazas que existen en la actualidad —aseveración con la cual en lo cual estoy completamente de acuerdo—y que ellos eran la única empresa capaz de detener tanto malware sofisticado como  Flame como el estilo de APT que afectaron a RSA.

Pero si analizamos a detalle el tema de algunos de estos incidentes de seguridad notaremos que Flame, precisamente aprovechó un fallo en el esquema de certificados de Windows para propagarse. Error que obligó a  Microsoft a liberar una corrección para remover tres certificados no confiables. Situación similar con Adobe que padeció enfrentó problemas de código malicioso por firmarlo como uno de sus certificados. El ya viejo lobo de mar Stuxnet, igualmente cae dentro de esta categoría y, por si me faltaran ejemplos, no olvidemos a DigiNotar y Comodo.

Las brechas de las que he hablado ponen de manifiesto que los propios fabricantes de seguridad no aplican las mejores prácticas que ellos tanto recomiendan a sus clientes y, en algunos casos, ni emplean sus propias soluciones para proteger sus infraestructuras. Al mismo tiempo, este tipo de ataques abre la puerta a la pesadilla de la mayoría de los CSO en todo el mundo: los cibercriminales te eligen, te estudian, te siguen con sigilo y eventualmente te atacan. Los que vulneraron a Bit9 conocían perfectamente su esquema de operaciones, al grado que pudieron comprometerlos a ellos y sus clientes antes de que el incidente se hiciera público.

A la espera de que la firma nos entregue un poco más de información para entender la forma de operar del ataque, me permito compartir algunas “descabelladas” ideas alrededor del incidente.

  1. Una vez dentro de la red de Bit9, los criminales encontraron los certificados digitales que se utilizan para actualizar la lista blanca empleada en su solución.
  2. La importancia del hecho por un lado radica, en que cualquier tipo de malware firmado por este “certificado” se confió automáticamente dentro de la política que Bit9 utiliza.
  3. Si la red corporativa de Bit9 ya fue comprometida, no quiere esto decir que los servidores que alojan los checksums de confianza de las listas blancas en la nube del fabricante podrían ser el objeto de un ataque en el futuro y que se pudieran “reconocer” binarios maliciosos como “confiables” más adelante de manera masiva. Es decir, ¿qué la lista blanca se haya quedado “sucia”?
  4. ¿Qué tipo de malware es el que se “dispersó” como un aplicativo confiable a través de esa política a sus clientes y que pudiera dejar puertas abiertas para ataques subsecuentes (entendiendo el tipo de clientes “high-profile” que maneja Bit9)? Muy posiblemente los clientes tengan que recurrir a soluciones de detección de anomalías para estar al pendiente de su red y en específico de los nodos confirmados con la infección.
  5. ¿Bit9 fue únicamente el medio para llegar a alguna de las 1,000 organizaciones que tiene el fabricante como cliente?

Forrester ha mencionado que “es claro que las soluciones Antivirus que basan su funcionamiento en el concepto de listas negras están luchando en una batalla perdida”. Gartner, mientras tanto, menciona que se deben de utilizar esquemas basados en listas blancas para servidores críticos donde sea posible, esto por supuesto hoy en día, está siendo extendido a los entornos de escritorio.

La realidad, es que esta tecnología ha venido en crescendo y es muy común que forme parte de los controles buscados por las corporaciones para proteger sus activos organizacionales. Es claro que el paradigma de creer que solamente el Antivirus era suficiente ha cambiado. Sin embargo, debemos reforzar el mensaje de que “ninguna solución de seguridad puede ser perfecta” y muchos menos creer que se trata de la “bala de plata” para hacer frente a un escenario ciberamenazas que no para de crecer y que cada día sorprende más en capacidades, alcances, impacto y métodos de infección. Sé que suena frustrante pero ¿quién creen que siga en la lista?

Juan Carlos Vázquez, es ingeniero en sistemas computacionales egresado del Instituto Tecnológico de San Luis Potosí (1994-1999), con diplomados en seguridad por la UVM y el ITESM. Focalizado al mundo de la seguridad desde hace 8 años. Cuanta con la certificación en BS7799-2 Lead Auditor y es un fiel Creyente de aquella frase que dice que “aquel que no sabe dónde está parado, dificilmente sabe a dónde se dirige” y que aplica muy bien para los temas de seguridad.

Fuente: bSecure – enlace

Anuncios

Acerca de Inés Tornabene
Inés Tornabene www.inestornabene.com

Responder

Introduce tus datos o haz clic en un icono para iniciar sesión:

Logo de WordPress.com

Estás comentando usando tu cuenta de WordPress.com. Cerrar sesión / Cambiar )

Imagen de Twitter

Estás comentando usando tu cuenta de Twitter. Cerrar sesión / Cambiar )

Foto de Facebook

Estás comentando usando tu cuenta de Facebook. Cerrar sesión / Cambiar )

Google+ photo

Estás comentando usando tu cuenta de Google+. Cerrar sesión / Cambiar )

Conectando a %s

A %d blogueros les gusta esto: