في البداية:
اختراق شركة RSA سنة 2011 يمثل نقلة خطيرة جدا في حجم التهديدات التي يواجهها العالم، ويكسر نظام الثقة المطلقة في أنظمة الحماية.
اختراق شركة RSA سنة 2011 يمثل نقلة خطيرة جدا في حجم التهديدات التي يواجهها العالم، ويكسر نظام الثقة المطلقة في أنظمة الحماية.
الشركات والمنظمات تعتمد على شركات حماية قوية ومعروفة للدفاع عنها، ولكن اذا تم اختراق شركات الحماية فجميع أنظمة الحماية ستصبح إما هشة الحماية في أخف أحوالها أو ستصبح هي المدخل للمخترقين لشبكات العالم! هذا الخطر ليس خطر نادر الحصول، بل حدث مؤخرا مع شركة SolarWinds
بهذا الاختراق أصبح المخترقون اذا لم يستطيعوا استهداف منظمة معينة لقوة حمايتها، يستهدفون منظمة أخرى تثق فيها الأولى أو تستخدم برامجها او خدماتها بالاختراق ومن خلالها تخترق المنظمة الأولى في ما يسمى الآن باختراق سلسلة شبكات التوريد!
أيضاً يُظهر هذا الاختراق الخلل في الاستراتيجية الدفاعية الذي تتبناه كثير من الجهات، حيث ان الدفاع الكامل شبه مستحيل، ويجب تبني استراتيجيات اخرى تتبنى الصمود السيبراني.
في مارس 2011 استقبل موظف في شركة RSA في استراليا ايميل بعنوان "خطة التوظيف لعام 2011" وبه ملف اكسل به كود برمجي يستغل ثغرة Zero Day في أدوبي فلاش لتحميل برنامج تجسسي Poison Ivy.
طريقة الهجوم هذه والدخول على الشبكة لم يكن معقدا او استخدم تقنيات متقدمة بل كانت طريقة دخول تقليدية.
طريقة الهجوم هذه والدخول على الشبكة لم يكن معقدا او استخدم تقنيات متقدمة بل كانت طريقة دخول تقليدية.
نجاح هذه الطريقة يعتمد على عدة عوامل، الأول عدم تحديث الأجهزة، و عدم تعطيل النصوص البرمجية في ملفات أوفيس، و وجود صلاحيات عالية للمستخدمين، ويبدوا أن كل هذه العوامل كانت متوفرة لدى الموظف المستهدف.
بعد الدخول الأولي، ظهرت المقدرة الحقيقية للمخترقين، حيث بدأوا يتحركون بسرعة ودرجة وضوح عالية، حيث كان يسحبون من ذاكرة الجهاز كلمات السر واسماء المستخدمين للأشخاص الذين استخدموا الجهاز وينتقلون باستخدام كلمات السر المكتشفة لأجهزة أخرى.
كان الهدف من هذا الاسلوب و البحث هو الحصول على حساب Domain Admin وهذا ما حصلوا عليه في الأخير في وقت وجيز!
سرعة المخترقين ومعرفتهم بالشبكة زرعت الشك في انه قد يكون لهم عميل داخل الشركة، حيث كانوا يعرفون ماذا يستهدفون وأهم ما يوجد بالشبكة، وهي "البذور"!
فما هي البذور؟
البذور هي ببساطة القيم الأولية المستخدمة في توليد أرقام عشوائية لنظام التحقق الثنائي SecureID الخاص بـ RSA
البذور هي ببساطة القيم الأولية المستخدمة في توليد أرقام عشوائية لنظام التحقق الثنائي SecureID الخاص بـ RSA
من يحصل على هذه "البذور" يحتمل بشكل كبير أن سيستطيع تجاوز التحقق الثنائي في الانظمة التي تستخدم التحقق الثنائي SecureID وذلك من خلال توليد نفس أرقام التحقق.
وكردة فعل من الشركة وشكوكهم في وجود عملاء داخليين قامت الشركة بالتأكد من الموظفين وفحص تاريخهم وسلوكهم Background Check جميعا، وتغطية بعض مكاتب التنفيذيين بالورق و فحص جميع المباني بحثا عن أجهزة تصنت وتجسس.
أشار العديد من المديرين التنفيذيين على أنهم قد عثروا على أجهزة تجسس مخفية بعضها كان قديمًا جدًا لدرجة أن بطارياتها نفدت ولكن لم يتم التأكد ما إذا كان لها علاقة بالاختراق أو لا.
البذور التي كانت يبحث عنها المخترقون كانت في أنظمة معزولة عن الشبكة الداخلية والانترنت الا من خلال اتصال واحد بنظام تفعيل المنتج للعملاء، وهذا الاتصال هو الذي تم استهدافه بشكل سريع ومباشر، حيث تم سحب جميع البذور ورفعها إلى خادم في Rackspace ومنه تم سحبه.
بعد شهرين من الاختراق، وتحديدا في شهر مايو ظهرت هذه المقالة بعنوان:
“ InsecureID: No more secrets”
ذُكر في المقالة أن مقاول رئيسي لوزارة الدفاع تم اختراقه وقد تم استخدام البذور المسروقة في الدخول على الأنظمة.
cringely.com
“ InsecureID: No more secrets”
ذُكر في المقالة أن مقاول رئيسي لوزارة الدفاع تم اختراقه وقد تم استخدام البذور المسروقة في الدخول على الأنظمة.
cringely.com
وكان مركز المراقبة عند هذا المقاول يشاهد كيف أن المخترقون يضعون أكواد التحقق الثنائي بشكل مباشر و كأن أجهزة التحقق في أيديهم! تبين في مابعد أن هذا المقاول هو Lockheed Martin توالت الأخبار في ما بعد أنه حتى Northrop Grumman تعرضوا لنفس الاختراق.
جاري تحميل الاقتراحات...