Alfonso Maruccia

RSA, anatomia di un attacco

La societÓ specializzata in sicurezza descrive i particolari della breccia telematica di cui Ŕ stata vittima. Tuttora ignoti sono le dimensioni del furto compiuto dai criminali e gli effetti sulla sicurezza del token SecurID

Roma - Qualche tempo dopo le polemiche scaturite dall'attacco al dongle SecurID per l'autenticazione a doppio fattore, RSA esce allo scoperto e rende pubblici i particolari di come gli ignoti cyber-criminali siano riusciti a violare i segreti meglio custoditi dalla società.

Alla base dell'attacco, dice ora RSA, c'è stata una mini-campagna di phishing concentrata su due piccoli gruppi di impiegati dal basso livello di sicurezza: le email spedite agli impiegati contenevano un allegato malevolo in formato Excel, pensato per sfruttare una vulnerabilità di Adobe Flash - ora corretta - con un exploit zero-day e la conseguente installazione di un malware con funzionalità backdoor.

Una volta "piantata" la backdoor sul PC aziendale - specificatamente una variante del noto trojan Poison Ivy, dice RSA - i cyber-criminali hanno sfruttato l'accesso segreto per portare a termine nuovi attacchi per la compromissione di account di più alto livello.
Neanche a dirlo, gli attacchi sono andati a segno, e a quel punto si è semplicemente trattato di recuperare informazioni sensibili sulla sicurezza dei prodotti RSA, compattarle in archivi RAR protetti da password, spostare gli archivi sui server compromessi ed "estrarli" verso hosting esterni tramite protocollo FTP.

RSA descrive l'attacco che ha colpito gli asset aziendali con una buona dovizia di particolari, ma se l'intento era quello di rassicurare o professare trasparenza il fallimento è doppio: l'azienda continua a nascondere quali e quante informazioni siano state rubate dai cyber-assalitori, spingendo clienti e osservatori esterni a temere il peggio.

Alfonso Maruccia
Notizie collegate
  • AttualitàGhostNet, la cyber-spia che ci provavaIndividuata una massiccia rete di ficcanaso digitale attiva in decine di paesi di tutto il mondo. Le briciole sembrano condurre a Pechino, ma la Cina respinge le accuse. Gli esperti invitano alla calma
  • SicurezzaRSA, cracker all'attacco del tokenLa societÓ che prende il nome dal celebre algoritmo di cifratura denuncia una effrazione virtuale e la possibile compromissione del suo token per l'autenticazione a doppio fattore
23 Commenti alla Notizia RSA, anatomia di un attacco
Ordina
  • Privilege escalation, oppure la più semplice in assoluto: per accedere a qualche applicativo hanno usato la pwd del capo ed il keylogger ha ringraziato.
  • - Scritto da: Valeren
    > Privilege escalation, oppure la più semplice in
    > assoluto: per accedere a qualche applicativo
    > hanno usato la pwd del capo ed il keylogger ha
    > ringraziato.


    una falla zero day su Flash Player sfruttata con un exploit che fa poi scaricare ed installare in silent mode un software malware porta ad una EoP ( Elevation of Privilege ) ?

    ma quando mai?

    erano tutti user con account Admin e non Limitato + senza antivirus

    ma come mai questi articoli parlano solo del problema e non trattano mai su come non incapparci o dov'e' stato il problema umano ?

    Maruccia & Co. sono un mistero
    -----------------------------------------------------------
    Modificato dall' autore il 07 aprile 2011 17.36
    -----------------------------------------------------------
    Fiber
    3598
  • - Scritto da: Fiber
    > - Scritto da: Valeren
    > > Privilege escalation, oppure la più semplice in
    > > assoluto: per accedere a qualche applicativo
    > > hanno usato la pwd del capo ed il keylogger ha
    > > ringraziato.

    > una falla zero day su Flash Player sfruttata con
    > un exploit che fa poi scaricare ed installare in
    > silent mode un software malware porta ad una EoP
    > ( Elevation of Privilege ) ?

    > ma quando mai?

    > erano tutti user con account Admin e non Limitato
    > + senza antivirus

    E gia: http://twitter.com/VUPEN/statuses/5412583149207552...
    krane
    21484
  • - Scritto da: krane
    > - Scritto da: Fiber
    > > - Scritto da: Valeren
    > > > Privilege escalation, oppure la più semplice
    > in
    > > > assoluto: per accedere a qualche applicativo
    > > > hanno usato la pwd del capo ed il keylogger ha
    > > > ringraziato.
    >
    > > una falla zero day su Flash Player sfruttata con
    > > un exploit che fa poi scaricare ed installare in
    > > silent mode un software malware porta ad una
    > EoP
    > > ( Elevation of Privilege ) ?
    >
    > > ma quando mai?
    >
    > > erano tutti user con account Admin e non
    > Limitato
    > > + senza antivirus
    >
    > E gia:
    > http://twitter.com/VUPEN/statuses/5412583149207552

    cosa c'entra questo con una vulnerabilita' su componenti di sistema per arrivare ad un Elevaton of Privilege?


    da quando in qua' da account Limitato si elevano i privilegi in Admin per installare un qualcosa come un software malware con una vulnerabilita' su Flash Player che nn e' un componente di sistema e/o del Kernel di Windows ?

    oramai te lo dico da mesi che in sicurezza informatica stai sottozero
    -----------------------------------------------------------
    Modificato dall' autore il 07 aprile 2011 17.56
    -----------------------------------------------------------
    Fiber
    3598
  • - Scritto da: Fiber
    > - Scritto da: krane
    > > - Scritto da: Fiber
    > > > - Scritto da: Valeren
    > > > > Privilege escalation, oppure la più semplice
    > > in
    > > > > assoluto: per accedere a qualche applicativo
    > > > > hanno usato la pwd del capo ed il keylogger
    > ha
    > > > > ringraziato.
    > >
    > > > una falla zero day su Flash Player sfruttata
    > con
    > > > un exploit che fa poi scaricare ed installare
    > in
    > > > silent mode un software malware porta ad una
    > > EoP
    > > > ( Elevation of Privilege ) ?
    > >
    > > > ma quando mai?
    > >
    > > > erano tutti user con account Admin e non
    > > Limitato
    > > > + senza antivirus
    > >
    > > E gia:
    > >
    > http://twitter.com/VUPEN/statuses/5412583149207552
    >
    > cosa c'entra questo con una vulnerabilita' su
    > componenti di sistema per arrivare ad un Elevaton
    > of Privilege?
    >


    Gia: dimenticavo che non leggi i link che ti postano per paura che un sito web ti buchi windows.

    > da quando in qua' da account Limitato si elevano
    > i privilegi in Admin per installare un qualcosa
    > come un software malware con una vulnerabilita'
    > su Flash Player che nn e' un componente di
    > sistema e/o del Kernel di Windows ?

    Su windows e' la normalita'.
    krane
    21484
  • - Scritto da: krane
    > - Scritto da: Fiber
    > > - Scritto da: krane
    > > > - Scritto da: Fiber
    > > > > - Scritto da: Valeren
    > > > > > Privilege escalation, oppure la più
    > semplice
    > > > in
    > > > > > assoluto: per accedere a qualche
    > applicativo
    > > > > > hanno usato la pwd del capo ed il
    > keylogger
    > > ha
    > > > > > ringraziato.
    > > >
    > > > > una falla zero day su Flash Player sfruttata
    > > con
    > > > > un exploit che fa poi scaricare ed
    > installare
    > > in
    > > > > silent mode un software malware porta ad
    > una
    > > > EoP
    > > > > ( Elevation of Privilege ) ?
    > > >
    > > > > ma quando mai?
    > > >
    > > > > erano tutti user con account Admin e non
    > > > Limitato
    > > > > + senza antivirus
    > > >
    > > > E gia:
    > > >
    > >
    > http://twitter.com/VUPEN/statuses/5412583149207552
    > >
    > > cosa c'entra questo con una vulnerabilita' su
    > > componenti di sistema per arrivare ad un
    > Elevaton
    > > of Privilege?
    > >

    >
    > Gia: dimenticavo che non leggi i link che ti
    > postano per paura che un sito web ti buchi
    > windows.
    >
    > > da quando in qua' da account Limitato si
    > elevano
    >
    > > i privilegi in Admin per installare un qualcosa
    > > come un software malware con una vulnerabilita'
    > > su Flash Player che nn e' un componente
    > di
    > > sistema e/o del Kernel di Windows ?
    >
    > Su windows e' la normalita'.

    la normalita' sono le immani fregnate che scrivi da sempre

    quelle per te sono sempre normali Rotola dal ridere
    Fiber
    3598
  • - Scritto da: Fiber
    > ma come mai questi articoli parlano solo del
    > problema e non trattano mai su come non
    > incapparci o dov'e' stato il problema
    > umano
    ?


    Il problema umano sono i cialtroni che continuano a difendere winsozz anche di fronte alla piu' sconcertante delle evidenze.

    Persino peggio di quei deputati che hanno votato convinti che Ruby fosse la nipote di Mubarak.
  • - Scritto da: panda rossa
    > - Scritto da: Fiber
    > > ma come mai questi articoli parlano solo del
    > > problema e non trattano mai su come non
    > > incapparci o dov'e' stato il problema
    > > umano
    ?
    >
    >
    > Il problema umano sono i cialtroni che continuano
    > a difendere winsozz anche di fronte alla piu'
    > sconcertante delle
    > evidenze.
    >
    > Persino peggio di quei deputati che hanno votato
    > convinti che Ruby fosse la nipote di
    > Mubarak.


    esatto

    eccoti assieme all'altro

    http://punto-informatico.it/b.aspx?i=3125285&m=312...

    2 cialtroni
    Fiber
    3598
  • - Scritto da: Fiber
    >
    > 2 cialtroni

    Windows viene bucato.
    Gli altri OS no.

    GET THE FACTS.
  • - Scritto da: panda rossa
    > - Scritto da: Fiber
    > >
    > > 2 cialtroni
    >
    > Windows viene bucato.
    > Gli altri OS no.
    >
    > GET THE FACTS.

    eccoti perche' non c'e' interesse nel fare le stesse cose su LinuS come su Windows ..

    http://punto-informatico.it/b.aspx?i=3127597&m=312...

    http://punto-informatico.it/b.aspx?i=3127597&m=312...


    Rotola dal ridereRotola dal ridereRotola dal ridereRotola dal ridereRotola dal ridereRotola dal ridereRotola dal ridereRotola dal ridereRotola dal ridereRotola dal ridere



    l'interesse invece gia' c'e' nel fare le stesse cose di Windows   ( IL software MALWARE) su Android che e' un derivato LinuS Rotola dal ridereRotola dal ridere perche' si sta diffondendo a macchia d'olio Rotola dal ridere
    Fiber
    3598
  • Solita storia. E sì che si occupano di sicurezza informatica...
    non+autenticato
  • Incredibile!
    Sono partiti dal basso! Aprono i PDF con Acrobat reader!
    RSA!

    Quindi in pratica se io volessi accedere in RSA fisicamente mi basterebbe accodarmi ad un gruppetto di impiegati a questo punto, visto che le cose più basilari a livello di sicurezza non sembrano essere prese in considerazione!
    non+autenticato
  • perdona l'ignoranza.. con cosa sarebbe più indicato aprire i PDF?
    non+autenticato
  • - Scritto da: stefano
    > perdona l'ignoranza.. con cosa sarebbe più
    > indicato aprire i
    > PDF?

    Qualunque cosa di diverso da Acrobat Reader e' meglio.
    E comunque e' un problema che riguarda solo winsozz, giacche' linux e mac hanno applicazioni di sistema per aprire i pdf.

    Basta chiedere a google:
    http://www.google.it/search?q=pdf+reader+-adobe

    Io sulle macchine win ho installato foxit.
  • - Scritto da: panda rossa
    > Io sulle macchine win ho installato foxit.

    E io sulle macchine windows ho installato LinuxSorride
    non+autenticato
  • - Scritto da: ips
    > - Scritto da: panda rossa
    > > Io sulle macchine win ho installato foxit.
    >
    > E io sulle macchine windows ho installato LinuxSorride
    Hai vintoOcchiolino
    non+autenticato
  • - Scritto da: panda rossa
    > - Scritto da: stefano
    > > perdona l'ignoranza.. con cosa sarebbe più
    > > indicato aprire i
    > > PDF?
    >
    > Qualunque cosa di diverso da Acrobat Reader e'
    > meglio.
    > E comunque e' un problema che riguarda solo
    > winsozz, giacche' linux e mac hanno applicazioni
    > di sistema per aprire i
    > pdf.
    >
    > Basta chiedere a google:
    > http://www.google.it/search?q=pdf+reader+-adobe
    >
    > Io sulle macchine win ho installato foxit.


    ma lo sai o no che Reader X usa la sandbox?

    per aprire un Pdf passo a Linus?

    dai...usi i neuroni in proporzionale a quanto pensi = mai
    -----------------------------------------------------------
    Modificato dall' autore il 07 aprile 2011 22.03
    -----------------------------------------------------------
    Fiber
    3598
  • - Scritto da: stefano
    > perdona l'ignoranza.. con cosa sarebbe più
    > indicato aprire i
    > PDF?
    io uso sumatrapdf
    non+autenticato
  • - Scritto da: stefano
    > perdona l'ignoranza.. con cosa sarebbe più
    > indicato aprire i
    > PDF?

    Ti spiego subito, anzi ti faccio vedere prima perchè NON si dovrebbe usare:
    http://www.clshack.it/guida-oday-reader-hack-windo...

    Se vuoi la lista di vulnerabilità di Acrobat Reader cerca su Google, ne rimarrai colpito.
    E' comunque uno dei modi più semplici che hanno i crackers per accedere ad un sitema con "candy security" attiva.

    Kevin Mitnick docet, ma docet un sacco di tempo fa. Possibile che RSA non sa queste cose?

    Cosa usare? Qualunque programma free e amgari open source (per una mera semplicità nel gestire appunto i problemi di sicurezza): vanno bene tutti, perchè sono comunque poco diffusi e poco attaccati, cerca su Google "PDF reader" o cose simili.
    non+autenticato
  • Cosa c'entrano i .PDf se è stata sfruttata una vulnerabilità di FLASH?
    Cosa c'entra Acrobat Reader?
    non+autenticato
  • Hai ragione, ho letto male o, meglio, mi ricordo di un exploit 0day che metteva in correlazione Flash + Acrobat Reader.
    Chiedo venia, anche se il discorso non cambia molto... è RSA, non una macelleria!!!!
    non+autenticato
  • - Scritto da: Piero
    > Cosa c'entrano i .PDf se è stata sfruttata una
    > vulnerabilità di
    > FLASH?
    > Cosa c'entra Acrobat Reader?

    Il fatto è che la specifica pdf prevede la possibilità di includere in un documento portable contenuti flash. (come ormai tanti formati prevedono l'inclusione di questi contenuti). A. Reader e A. Flash plugin condividono delle ddl per flash.