image

Beveiligingsbedrijf RSA gehackt

vrijdag 18 maart 2011, 09:34 door Redactie, 9 reacties

Aanvallers zijn erin geslaagd om bij RSA in te breken en informatie over de twee-factor authenticatie oplossing van het beveiligingsbedrijf te stelen. Voorzitter Art Coviello plaatste een open brief online, waarin hij laat weten dat het bedrijf het doelwit van een "zeer geraffineerde cyberaanval" is. Het zou om een Advanced Persistent Threat (APT) gaan, waardoor de aanvallers informatie over de SecurID twee-factor authenticatie producten wisten buit te maken.

Volgens Coviello is het niet mogelijk om met de buitgemaakte informatie een directe aanval tegen RSA SecurID-klanten uit te voeren, maar kan het wel worden gebruikt om de effectiviteit van de twee-factor authenticatie implementatie te verminderen. Inmiddels zou RSA met klanten overleggen welke maatregelen ze kunnen nemen om hun implementaties te versterken. Andere producten en diensten van RSA en moederbedrijf EMC zouden niet getroffen zijn. Ook zouden er geen klantgegevens of persoonlijke identificeerbare informatie zijn gestolen.

Coviello besluit zijn brief door te stellen dat APT-dreigingen een steeds grotere uitdaging voor ondernemingen worden. De beveiliger is van plan om informatie over de aanval met klanten, partners en de rest van de beveiligingsindustrie te delen.

Reacties (9)
18-03-2011, 11:00 door Anoniem
Volgens Coviello is het niet mogelijk om met de buitgemaakte informatie een directe aanval tegen RSA SecurID-klanten uit te voeren, maar kan het wel worden gebruikt om de effectiviteit van de twee-factor authenticatie implementatie te verminderen.
Klinkt als security by obscurity?
18-03-2011, 11:05 door Black eagle
Dit was een keer te verwachten. Nu maar hopen dat geen enkele klant er last van gaat krijgen.

Gelukkig is het een samenwerking van systemen en is RSA voor een extra laag autenticatie.
DIt is wel iets om in de gaten te houden.

Vind het wel goed dat RSA dit aangeeft en er wat mee doet. Dat geeft ook een beeld van hoe het bedrijf is.
Het wordt niet de doofpot ingestopt.
18-03-2011, 11:14 door ej__
Werkt goed he, zo'n geheim algoritme. Bij een openbaar algoritme had het geen drol uitgemaakt. Nu kun je de impact niet inschatten.

En het feit dat RSA dit meldt volgt gewoon uit een wettelijke meldplicht. Als die er niet was geweest was het vast niet verteld.
18-03-2011, 12:07 door Anoniem
RSA Securid gebruikt helemaal geen geheim algoritme. Zoals de naam ook zegt wordt er gebruik gemaakt van RSA.
18-03-2011, 12:10 door Anoniem
Every 60 seconds it displays a new code generated by the RSA SecurID AES algorithm.
18-03-2011, 14:51 door Anoniem
Er is geen info disclosed over de daadwerkelijke hack. Het uitschrijven van de conference calls lijkt meer op damage controle t.a.v. de stockholders.
18-03-2011, 19:26 door ej__
Door Anoniem: Every 60 seconds it displays a new code generated by the RSA SecurID AES algorithm.

Je kunt goed de marketing kreten kopieren. Maar je hebt geen idee hoe het algoritme in elkaar gestoken is, hoe de synchronisatie werkt etc. Met andere woorden: security by obscurity. Je kunt
1 de code niet controleren.
2 niet inschatten wat de impact is van de diefstal, het algoritme is immers gejat.

Mis dus. Volledig security by obscurity.
19-03-2011, 12:45 door Anoniem
Vrijwel elk bedrijf gebruikt naast de echte security maatregelen ook wat security by obscurity. Security by obscurity als aanvullende maatregel is niet per sé slecht. Het is alleen slecht als je daarnaast geen echte security maatregelen tegenover stelt.

Let eens op bepaalde aanbevelingen, waarbij o.a. duidelijk wordt gemaakt dat je geen netwerk-specifieke informatie zou moeten teruggeven, waaruit bijv. blijkt welk type servers je gebruikt, o.b.v. een internet request...
Dat is pure "security by obscurity". Probleem is hier dat geen enkele oplossing volledig secure is, en elke server z'n eigen problemen kent. Daarom moet je toch in lagen denken. Dat daarbij ook security by obscurity wordt gebruikt, is niet zo slecht. Als je daarop echter moet vertrouwen, dan wordt het wel slecht.

Uit de reactie van die Coviello blijkt voor mij eigenlijk dat hij verwacht dat de echte security maatregelen wel voldoende zijn, maar dat hij wel rekening houdt met de waarde van die gekaapte informatie voor potentiele aanvallers. Daar is niet zoveel mis mee.

In hoeverre dit allemaal echt zo is, en in hoeverre dit "damage control" is, dat weet ik natuurlijk niet. Maar dat kun je uit dit bericht ook niet halen, denk ik...
21-03-2011, 16:08 door Anoniem
Door ej__:
Door Anoniem: Every 60 seconds it displays a new code generated by the RSA SecurID AES algorithm.

Je kunt goed de marketing kreten kopieren. Maar je hebt geen idee hoe het algoritme in elkaar gestoken is, hoe de synchronisatie werkt etc. Met andere woorden: security by obscurity. Je kunt
1 de code niet controleren.
2 niet inschatten wat de impact is van de diefstal, het algoritme is immers gejat.

Mis dus. Volledig security by obscurity.

Je zou mogen hopen dat de hoofdmoot van de beveiliging niet in het geheim zijn van het algorithme zit.
Aangezien er ook soft-tokens voor SecureID bestaan, en het algorithme ook aan de server zijde zit.
Kortom, het *algorithme* ligt min of meer op straat voor wie wat moeite doet, en als dat goed gekozen is, is het ook geen probleem.
Ook met een goed algorithme kan een protocol natuurlijk nog zwakheden bevatten, maar met "AES" in de marketing termen weten we in elk geval dat het algorithme goed is. (itt kretologie als "our propietary 10,000 bit algorithm"). En er werken competente cryptologen bij RSA.
Kortom, het risico aan de protocol/algorithme kant lijkt me niet zo groot.

Wat normaal gesproken _niet_ op straat ligt zijn de klant/token specifieke seed codes van de gebruikte tokens.
Er is een reëele kans dat deze gekopieerd zijn bij de RSA hack.
Reageren

Deze posting is gelocked. Reageren is niet meer mogelijk.