Ayer hablábamos del supuesto hackeo a la NSA que los denominados Shadow Brokers, debido en parte a que la subasta de la información que dicen tener no parece estar obteniendo las pujas esperadas. Y justo hoy han sido los de Cisco y Fortinet quienes han confirmado el software sí tiene vulnerabilidades.
Ambas forman parte de las empresas con las que trabaja la NSA a nivel de firewalls y demás software de seguridad, y con los comunicados se confirma la posibilidad de que se haya accedido a la información teniendo un control de ésta y de su tráfico. Un acceso que puede haber sido tanto interno como remoto y abierto durante mucho tiempo.
Una tentadora puerta de par en par
Cisco habla de dos vulnerabilidades que afectan a su software Adaptative Security Appliance (un firewall), y en ambos casos con posibilidad de ejecutar el código de manera remota, por lo que el ataque podría haberse cometido desde cualquier punto del planeta. Lo que han visto es que es completamente posible que los hackers desactivasen la petición de contraseñas recurriendo al exploit ExtraBacon.
Como leemos en las declaraciones de Mustafa Al-Bassam (experto en seguridad) en Ars Technica, el riesgo es importante dado que de este modo los hackers habrían tenido la posibilidad de controlar de manera completa el firewall y monitorizar la información. Unas vulnerabilidades que Cisco aún tiene que corregir mediante parches de actualización, si bien como leemos en el comunicado muestra cómo detectar los exploits y detenerlos antes de que alguien pueda tomar el control.
Los expertos en seguridad aún no han dejado de investigar y de hecho falta por ver si otras empresas que trabajan con la NSA tienen vulnerabilidades similares, como Juniper, la cual no sería la primera vez que ha de corregir problemas de este tipo. Fallos que además datan de software de hace años, según vemos en las comunicaciones 2011 y 2012, por lo que estas "puertas" habrían estado abiertas durante años.
¿Y se sabe quién ha sido?
Aquí se sigue teorizando según los datos que se van teniendo. No se sabe al 100% la identidad o identidades reales de Shadow Brokers, pero como ya hemos visto con las declaraciones de Snowden se ha apuntado a que podría ser un ataque perpetrado por hackers rusos. No obstante, como decíamos se ha apuntado a que el hackeo saliese de la propia NSA, y esta hipótesis está cobrando fuerza según apuntan fuentes de la propia agencia.
Así lo recogen en Motherboard, con el testimonio de un empleado de la NSA que cree firmemente que ni se trata de un hackeo externo ni hay un grupo de hackers, sino que con mucha probabilidad habrá sido obra de un empleado. Alude a que parte de esa información es sólo accesible de manera interna ya que está en una red externa a internet.
Mis colegas y yo estamos casi del todo seguiros de que esto no ha sido un hackeo o algo por parte de un grupo de hackers. Estos "Shadow Brokers" son una persona, un empleado [de la NSA].
Si bien a nivel técnico el hecho de que la información esté de manera externa a internet no impide que se pueda acceder a ella con los procedimientos de hackeo existentes, por otra parte está la opinión del CEO de Comae (una empresa de ciberseguridad), Matt Suiche, que también se inclina a que no ha sido cosa de Rusia, dando fuerza a la hipótesis del empleado.
En Xataka | El hackeo de Shadow Brokers a la NSA: ¿un mal negocio o una prueba irrefutable?
Ver todos los comentarios en https://www.xataka.com
VER 0 Comentario