Análisis del hackeo a #Bit9

party-eNota de Juan Carlos Vázquez para bSecure. En esta publicación se ha tocado hasta el cansancio el tema de los ciberataques. De hecho, creo que es el tema principal del medio de comunicación, así que en pocas palabras su existencia está atada al crecimiento, evolución e impacto del crimeware en el mundo.

Y vaya que en los últimos años hemos tenidos material de sobra para analizar. Desde 2010, el mundo clandestino de los cibercriminales, hacktivistas y ciber espías nos dejó en claro que no existe empresa en el planeta que sea inmune a un ciberataque, incluso si tu negocio mismo es la ciberseguridad.

Recordemos en 2011 a RSA, con un ataque que involucró información relacionada con su solución de autenticación de doble factor. Poco tiempo después Symantec se agregó a la lista y reveló que había sido foco de una brecha, donde parte del código fuente de sus soluciones de endpoint fue comprometido.

Si las firmas de seguridad IT son blanco, el resto de las organizaciones con más razón. Arrancamos 2013 con los ya famosos hackeos a medios de comunicación estadounidense Washington Post, The Wall Street Journal, The New York Times. ¡Ah! Por poco olvido el ataque al Departamento de Energía de Estados Unidos y las más de 250,000 cuentas de Twitter comprometidas, como reflejo de la vulnerabilidad en Java que Oracle decidió corregir justo esta semana.

La semana pasada le tocó a Bit9, aunque el proveedor ya liberó una actualización para corregir la vulnerabilidad, nos enteramos de que la empresa —ampliamente reconocida en el mercado por su solución de “Listas Blancas de aplicaciones”— fue comprometida y la brecha fue aprovechada para distribuir malware con al menos tres de sus clientes (entre los que están firmas minoristas, bancos, agencias federales y de seguridad nacional y energía).

Uno de los primeros en reportarlo fue el famoso Brian Krebs, a través de su conocido blog KrebsonSecurity, quien ventiló que la red corporativa de Bit9 había sido objeto de un ciberataque y que el mismo proveedor ya había recibido reportes de algunos de sus clientes que aseguraban haber detectado códigos maliciosos dentro de las redes protegidas por la solución de Bit9. Al estar comprometida la aplicación, el malware era aprobado como aplicación legítima por el sistema.

Las soluciones de listas blancas de aplicaciones, tienen como objetivo impedir que código no autorizado (fuera de esa lista) se ejecute dentro de un sistema (incluyendo al malware por supuesto) y que únicamente las aplicaciones confiables y permitidas sean empleadas por el usuario final.

Leer más de esta entrada