تفاصيل اختراق إحدى أشهر شركات أمن المعلومات – RSA

قبل حوالي الأسبوعين ذكرت شركة RSA الشهيرة أنّها تعرضت لاختراق أدّى إلى سرقة بعض المعلومات المتعلقة بمنتجاتها وزبائنها. لمن لا يعرف شركة RSA هي الشّركة التي طوّرت إحدى أشهر خوارزميات التشفير والتي تحمل اسم الشّركة (أو تحديداً الأحرف الأولى من أسماء مطوّري الخوازميّة). كذلك تقوم الشّركة بإنتاج قطع الكترونيّة تعرف باسم tokens تستخدم في عملية التّوثيق المتعدّدة (two-factor authentication).

تفاصيل الهجوم كما ذكرها رئيس الدّائرة الأمنيّة في الشركة:

١- الهجوم بدأ ببريد اصطياد (Spear Phishing)، حيث قام المهاجم باستخدام الشبكات الإجتماعيّة للحصول على معلومات حول موظّفين في الشّركة. بريد الاصطياد هو بريد موجّه يختلف عن السبام في كون الهدف محدّد والرّسالة يتمّ صياغتها بناءاً على الهدف. فمثلاً موظّف في دائرة شؤون الموظفين يستهدف ببريد يتناول شؤون الموظفين في حين موظف في الدّائرة الماليّة يتمّ استهدافه ببريد حول الاحوال الماليّة للشّركة وهكذا.
٢- البريد تمّ ارساله على مدى يومين إلى مجموعة صغيرة من الموظّفين. هؤلاء الموظّفون هم موظّفون عاديّون وليسوا مدراء وخلافه.
٣- البريد الذي تمّ ارساله معنون ب “2011 Recruitment Plan” ويحتوي على ملف اكسل مرفق بنفس الأسم. الملف يحتوي على ثغرة 0-day تقوم بتثبيت بوابة خلفية عبر ثغرة في الفلاش (CVE-2011-0609). تمّ اغلاق الثغرة من قبل ادوبي (بعد الهجوم)
٤- بعد ذلك تمّ تثبيت برنامج للتّحكم بالحاسوب عن بعد. الحاسوب يقوم بالبدء بالاتصال وهو ما يجعل كشفه “صعباً”.
٥- المهاجم قام بالبحث داخل الحاسوب/الشبكة بحثاً عن موظفين بصلاحيّات أعلى حتى وصل الى معلومات خاصة بالزّبائن وبالمنتج ثمّ قام بضغط الملفات التي جمعها وقام برفعها باستخدام الى خادم خارجي باستخدام خدمة FTP.

هذا النّوع من الهجمات يعرف ب APT (Advanced Persistent Threat) أو التهديد المتقدم والمتواصل. هذه هي تفاصيل الهجوم باختصار ولمن أراد تفاصيل أكثر فبإمكانه الرجوع الى هذا الرابط

—–

هذا الهجوم يظهر أنّ الحلقة الأضعف هي العنصر البشري. فشركة RSA تعتبر من أشهر الشّركات في أمن المعلومات ويفترض أن تكون لديها اجراءات صارمة بخصوص الأمان ولكن كل ذلك لم يمنع من اختراقها.

هناك عدّة أسئلة أثارها هذا الهجوم:
١- على فرض أن الموظف قام بفتح الرّسالة (العنصر البشري يعتبر الحلقة الأضعف في إجراءات الحماية)، ما هي الصّلاحيات التي كانت لدى هذا الموظّف والتي سمحت بنجاح هذا الهجوم؟ هل كانت صلاحيّات مدير؟ إذا كانت صلاحيّات مدير فهذا يطرح شكّاً في كفاءة الإجراءات الأمنيّة للشّركة. اعطاء الموظّفين صلاحيات مدير على حواسيبهم سبب رئيسي في نجاح العديد من الهجمات أيّاً كان نوع هذه الهجمات.
٢- في شركات أمنية يتوقع المرء وجود ادوات كشف متسللين على مستوى الشبكة وعلى مستوى النّظام نفسه. لا شك أن الثغرة واستغلالها قد أدخل تعديلات على النّظام، أنظمة كشف المتسللين على النّظام (HIDS) يمكنها كشف مثل هذه التعديلات. هل يمكن القول أنّ مثل هذه الأنظمة لم تكن مثبّتة؟ أمّ أنّها كانت مثبّتة وفشلت في كشف التغيير؟
٣- هل خدمات مثل FTP مسموح بها داخل الشّركة لأي خادم وليس لخوادم محدّدة؟

شاركنا رأيك في هذا الهجوم والأسئلة التي اثارها لديك في التعليقات.

نبذة عن الكاتب

بشار ماجستير نظم معلومات. مهندس أنظمة يمتلك خبرة في إدارة أنظمة ويندوز ولينكس. باحث ومختصص في مجال أنظمة المعلومات، معالجة الحوادث الأمنيّة، تحليل الإختراقات الأمنيّة، وفحصوصات الاختراق. حاصل على العديد من الشهادات الأمنيّة. عضو في مجلس استشاريّي معهد سانز لأمن المعلومات.

التعليقات:

أضف تعليقاً | عدد التعليقات: (8)

  1. رائع جدا و هذا يدل على المقولة الابدية و يوأكدها بشدة انه لا نظام امنى كامل و الكمال لله وحده

    و الله الموفق

    تحياتى

  2. Hit-Man قال:

    شكرا لك أخي بشار على المقال

  3. أخي بشار ,
    1. كلنا نقر بخطورة استخدام حساب المدير حتى على أجهزتنا
    ولكن من الصعب تطبيق هذا الأمر في بيئة فريق مدراء سرفرات أو مدراء قواعد بيانات خاصة لو كانت الشركة تصرف laptop لكل موظف و يستخدمه استخدام شخصي أيضا.

    2. حتى في الشركات الضخمة تجد أشياء تشيب لها الولدان, دخلت إحدى الشركات الضخمة في المملكة العربية السعودية لغرض حل مشكلة في خادم Unix فتفاجأت بـ
    أ) الرجل يستخدم على جهازة XPsp2 بمكافح فايروسات AVG !!
    ب) الرجل يعمل بصلاحيات مدير على جهازه
    ج) الرجل يستخدم telnet للإتصال بالخادم و ليس SSH.
    المضحك في النقطة الأخيرة اني استنكرت عليه استخدام telnet فأجابني أن المسؤل عن الحماية لا يفتح جميع المنافذ و قد قام بإغلاق الـSSH >> لغرض الحماية !!

    3. أصبحت الشركات تقوم بإنشاء مجموعات على الشبكات الاجتماعية ليشترك فيها جميع موظفيها و تكون بمثابة مكان المرح لهم و من مزاحهم و الحديث بينهم على الصفحة تستطيع أن تستخلص الكثير و الكثير من البيانات.

    4. أنظمة كشف الدخلاء, عندما لا يتم إعدادها بشكل صحيح (في حالة وجودها) فإن الإنذارات الكاذبة False Positive تزيد مما يجعل المسؤول عن المراقبة فإنه يصل “باللا مبالاة” بالإنذارات.

    5. FTP , Telnet ,etc .. هذه الخدمات يجبرك عليها أحيانا التطبيقات المستخدمة في الشركة بناء على متطلبات العمل

  4. Dr.H4ck3rZ قال:

    أشكرك أخي الغالي على الموضوع ولكن يبقى لسؤال الذي يطرح نفسه دائما
    شركة مثل RSA ولا تتوفر على فريق أمن معلومات يكشف من يدخل على أجهزة ويحمل من FTP ؟ شيء غريب حقا
    شكرا لك أخي بشار على لموضوع =)

  5. أحمد حسن قال:

    شكرا بشر على هذة المقالة و هي تفتح باب لنقاش واسع و يطول فيه الحديث .

    و انا في رائي فعلا الوعي الأمني في اغلب الشركات حتى العملاقة و الذي من المفترض ان يكون الموظفين فيها على اعلى مستوى من الوعي الأمني تجدهم مع الأسف يتعاملون كمبتدئين و مستخدمين عادين و هذا في حد ذاته كارثة بصراحة .

    كما ذكر صبري و تجربته مع احدى الشركات السعودية و مدى الضعف للوعي الأمني لدى الموظفين ممى يؤدي إلى امور خطيرة جدا . انا ايضا عندما اكتشفت احدى الثغرات في منتجات شركة Kayako و كانت غير معلن عنها و في طور الـ 0day و كانت من نوع XSS وقمت ببعض التجارب مع بعض شركات الأستضافة الكبيرةو الشهيرة او ما يطلق عليها Datacenters و التى تحتوي على الاف الألف للخوادم للعملاء . للأسف قمت بتجربة و ارسلت رسالة للدعم الفني لهذة الشركات تعتمد باسلوب كبير على الهندسة الأجتماعية ايضا و بعد ارسالي للرسالة وجدت اشياء غريبة و هي دخول اكثر من staff member على الصفحة التى وضعتها برسالة و التى تحمل كود xss و دخولهم من اكثر من ip address و OS مختلف . ارى البعض يدخل من MAC OX و البعض يدخل من LINUX و البعض يدخل من WIN VISTA و XP !

    و الأكثر من ذلك رأيت البعض يدخل من متصفحات IE6 على XP و هذا شئ يثير فعلا التعجب فكل واحد من فريق العمل يدخل من جهاز شك كما يكون جهازه الشخصي .

    ايضا الكارثة الكبيرة انه فريق العمل يقوم بفتح الصفحة من نفس الحاسوب المستخدم في دخوله للوحة التحكم للدعم الفني و لا يقوم بفتح الصفحة من Virtual Machine حتى لا يتعرض الجهاز الأساسي للخطر . و ايضا ما وجدته ان جميع فريق staff لهذة الشركات كان يقوم بدخول الصفحة و هو مفعل javascript بالمتصفح و هذا يدل ببساطة عن غياب الوعي الأمني تماما لدى الموظفين و يفسر ما يحدث من اخترقات لشركات عملاقة .

    بالطبع قد قمت بعد ذلك بابلاغ الشركات عندي حصولي على حسابتهم و قمت بتنبهم لهذة الأمور و اعطيتهم بعض الأرشادات حتى يقوموا بتأمين للثغرات من هذا النوع بشكل افضل .

    و بالنسبة لسؤالك يا بشار بخصوص الأختراق لشركة RSA “ما هي الصّلاحيات التي كانت لدى هذا الموظّف والتي سمحت بنجاح هذا الهجوم”

    من خبرتي المتواضعة في مجال malware analysis فأن بعض malwares تستيطع العمل على حسابات guest او limited بشكل طبيعي جدا و تقوم بعمل الكثير من الوظائف. فنقطة الصلاحيات هنا هي ليست المحور الأساسي بالموضوع و لكن نقطة الضعف تكمن في اعتماد الموظفين او خبراء الحماية بالشركة على تأمين الحواسيب عن طريق برامج AVS فقط و لكن مع الأسف بأستخدام encryptions & obfuscations for malware executable يصبح مخفي تمام عن اعين برامج الحماية و لا يستطيع برنامج الحماية اكتشاف الكود الخبيث حتى اذا كان الفيروس في الأصل قبل عملية التشفير مكشوف في قاعدة برنامج الحماية .

  6. نجيب قال:

    بالنسبة لاسئلتك :
    1 – لا يحتاج اختراق الضحية الى صلاحية مدير فعندما يتصل بالميتاسبلويت يمكنه التنقل الى بروسس سيستم
    2 – مع برنامج RAT مشفر جيدا و مغير التوقيع و باتصال عكسي لا اعتقد انه يمكن اكتشافه بسهولة مثلما ذكرت انت ، فبرامج كشف التسلل التي ذكرتها لا يمكن الاعتماد عليها
    3 – بالنسبة للـ FTP اعتقد انك فهمتها خطأ ، فهو رفع الملفات الى سرفر خارجي به FTP فحسب المقال المخترق استعمل Poison-Ivy يعني سهلة جدا تعطيه حساب الاف تي بي و هو يرفعلك الملفات التي تريدها عليه و لا يحتاج اصلا الى وجود خدمة الاف تي بي في جهاز الضحية

    • بشار قال:

      أخي نجيب أشكرك على مشاركتك.

      يبدو لديك ما شاء الله خبرة جيّدة في الهجوم، انصحك بالقراءة في مجال الحماية اكثر.

      بخصوص نقطة 1 + 2 الشركات الكبيرة لديها برامج مراقبة تسمح بالاطلاع على كل اتصال مشفّر يخرج من شبكة الشركة ويتمّ اطلاق تحذير في حالة لم تتمكن من ذلك. كذلك عدد المنافذ التي يسمح بالاتصال الخارجي بها تكون محدودة. الاتصال العكسي الذي حصل تمّ مع موقع تمّ وضعه على قوائم المواقع المشبوهة وهي قوائم يتمّ تحديثها باستمرار وذلك حتى قبل أن تتعرض الشركة للاختراق. انا استخدام برنامج مجاني وكان هذا الموقع على قائمة المواقع الممنوعة لدي وأي اتصال به من خلال مستخدم داخل الشبكة يتمّ تحويله الى 127.0.0.1 وتسجيل المحاولة واعلامي بها.

      بخصوص نقطة 3 المقصود كيف يكون مسموح للمستخدمين بالاتصال مع خادم رفع ملفات خارجي وليس المقصود ان حاسوب الضحية الى خادم رفع ملفات.

      هذا احد الحلول التجارية التي تستخدمها الشركات الكبيرة
      http://www.damballa.com/ يمكن الاطلاع عليه وعلى الية عمله تناولنا هنا احد الحلول المجانية في المجتمع يمكنك الاطلاع عليه هنا
      http://www.security4arabs.com/2011/07/15/strengthen-your-network-defenses-with-sinkhol-2/

  7. […] في مقال سابق قصة الاختراق الذي تعرضت له شركة RSA الأمنيّة الشهيرة، […]

أكتب تعليق