Im Schneier on Security-Blog werden einige gute Punkte hervorgehoben: RSA Security, Inc gehackt.

Die Sorge ist, dass der Quellcode für die SecurID zwei des Unternehmens Das Produkt zur Faktorauthentifizierung wurde gestohlen, wodurch Hacker möglicherweise das System zurückentwickeln oder auf andere Weise beschädigen könnten. Es ist schwierig zu beurteilen, ob dies möglich oder wahrscheinlich ist, ohne zu wissen, 1) wie die Kryptografie von SecurID funktioniert und 2) genau, was von den Servern des Unternehmens gestohlen wurde. Wir wissen es auch nicht, und die Unternehmensentwicklung ist ebenso kurz wie lang und beruhigend.

...

Bei Sicherheit dreht sich alles um Vertrauen, und wenn das Vertrauen verloren geht Es gibt keine Sicherheit. Benutzer von SecurID vertrauten RSA Data Security, Inc., um die zur Sicherung dieses Systems erforderlichen Geheimnisse zu schützen. In dem Maße, in dem dies nicht der Fall war, hat das Unternehmen das Vertrauen seiner Kunden verloren.

Aktualisiert, um einige Missverständnisse zu beheben .... Die Berechnungen des SecurID-Zugangscodes wurden bereits durchgeführt wurde rückentwickelt - siehe RSA SecurID-Daten kompromittiert und Cain and Able . Der Algorithmus erfordert den von RSA bereitgestellten tokenspezifischen AES-Schlüssel ("Seed Record") zusammen mit dem Token.

Die Kommentare in Schneiers Blog spekulieren über die möglichen Auswirkungen. Es ist wahrscheinlich, dass eine Art Datenbank mit Seeds für jede Seriennummer gestohlen wurde, sodass Angreifer, die die Seriennummer kennen (auf der Rückseite des Tokens aufgedruckt) und die Uhreinstellung des Tokens herausfinden können (z. B. indem sie einige Zugangscodes sehen) ) um den Startwert zu erhalten und zukünftige Zugangscodes zu berechnen. Wenn die SecurID allein zur Authentifizierung verwendet wird, ist dies alles, was sie benötigen würden. Wenn es Teil eines 2-Faktor-Systems ist, z. Zusammen mit einem Passwort oder einer PIN würde dies das auf ein Ein-Faktor-System reduzieren.

Ich bin erstaunt, dass SecurID so lange mit so viel Sicherheit durch Unklarheiten in ihrem Design davongekommen ist! Ich frage mich, ob sie die Samen für alle Geräte behalten, die sie verkaufen - scheint ein großes Risiko zu sein.

Update: Lockheed wurde angegriffen, Berichten zufolge über kopierte SecurID-Schlüssel: Lockheed Martin bestätigt, dass es angegriffen wurde - AllThingsD

Update: Als @DW stellt fest, dass Dan Kaminskys Blog über den RSA SecurID-Kompromiss eine ausführlichere Diskussion der Probleme hier enthält, was im Allgemeinen mit den Blog-Kommentaren übereinstimmt, die ich hier notiert habe, obwohl es Schneiers Ängsten vor Neuem nicht viel Gewicht verleiht Angriffe basierend auf einem hypothetischen Diebstahl von Quellcode.

Nachrichtenberichte deuten darauf hin, dass die RSA-Sicherheitsverletzung es den Angreifern möglicherweise ermöglicht hat, SecurID-Token zu klonen (zu duplizieren), die von Lockheed-Martin-Mitarbeitern verwendet werden, um Zugriff auf die Lockheed-Martin-Netzwerke zu erhalten. (Es gibt auch Berichte, dass RSA Security reagiert, indem sie die SecurID-Token ihrer Kunden durch neue ersetzt.)

Leider ist es derzeit schwer zu wissen, was möglicherweise passiert ist . RSA Security war genau darüber informiert, auf welche RSA-Informationen oder -Systeme die Hacker Zugriff hatten. Die technischen Besonderheiten machen einen großen Unterschied bei der Bewertung der möglichen Auswirkungen der früheren RSA-Sicherheitsverletzung. Der schlimmste Fall ist, dass die Angreifer das in SecurID-Token enthaltene kryptografische Schlüsselmaterial und Informationen zu den Benutzernamen / Konten von SecurID-Token-Inhabern gestohlen haben könnten. Dies wäre sehr ernst, da das Schlüsselmaterial das Kerngeheimnis ist, das den Zugang zu Netzwerken kontrolliert. Ein Eindringling mit Zugriff auf das Schlüsselmaterial kann das SecurID-Token klonen und viele mächtige Angriffe ausführen. Es gibt auch viele andere Möglichkeiten, die weniger ernst sind. Das andere Extrem ist beispielsweise die Möglichkeit, dass die Hacker bei RSA keinen Zugriff auf vertrauliche Informationen erhalten haben. Zwischen diesen beiden Extremen gibt es viele Möglichkeiten. An diesem Punkt haben wir nur Spekulationen.

Ein Teil dessen, was es schwierig macht zu wissen, was los ist, ist, dass RSA Security diesbezüglich den Mund hält. Das macht es schwierig zu wissen, welche Risiken bestehen können, was es für SecurID-Kunden wiederum schwieriger macht, ihre eigenen Systeme vor diesen Risiken zu schützen. Es ist verlockend, das Schlimmste anzunehmen, wenn es an Informationen mangelt, aber es ist schwer zu wissen, ob dies tatsächlich gerechtfertigt ist. (Persönliche Meinung: Diese Vorfälle werfen Fragen auf, ob RSA Security dies mit Bedacht gehandhabt hat und ob sie im besten Interesse ihrer Kunden gehandelt haben. Nach diesem Vorfall würde ich erwarten, dass viele Sicherheitsleute eher zögern, ihr Vertrauen zu setzen und vertrauen Sie in Zukunft auf RSA Security.)

Viel FUD, aber einige Schnipsel kommen heraus. Zitat aus http://www.metafilter.com/101636/RSA-has-been-hacked

Eine Möglichkeit, sagte Whitfield Diffie, ein Computersicherheitsspezialist, der ein Erfinder war Bei kryptografischen Systemen, die heute im elektronischen Geschäftsverkehr weit verbreitet sind, könnte ein „Hauptschlüssel“ - eine große Geheimnummer, die als Teil des Verschlüsselungsalgorithmus verwendet wird - gestohlen worden sein.

Wir haben den Punkt erreicht, an dem einige Informationen herauszulaufen beginnen. Nehmen Sie diesen Blog-Beitrag von Uri Rivner. Weitere Zusammenfassung von Wanner in diesem ISC-Blogbeitrag. Wie von Wanner ausgeführt:

• Der erste Teil des Angriffs war ein Spear-Phishing-Versuch, der auf nicht hochkarätige Ziele abzielte. Die Informationen zu den Zielen wurden höchstwahrscheinlich von Websites sozialer Netzwerke gewonnen. Es war lediglich einer der Zielmitarbeiter erforderlich, der dazu verleitet wurde, eine angehängte Excel-Tabelle zu öffnen.
• Die Excel-Tabelle enthielt einen Zero-Day-Exploit, der auf eine Adobe Flash-Sicherheitsanfälligkeit abzielte.
• Der Exploit fügte eine Hintertür hinzu. und installierte ein Remoteverwaltungsprogramm.
• Die Malware hat dann Anmeldeinformationen für Benutzerkonten erfasst, um Ziele mit höherem Wert zu gefährden.

/ blockquote>

Es sieht auf jeden Fall so aus ein einigermaßen unkomplizierter, aber gezielter Angriff. Sie werfen natürlich das Schlagwort APT herum. Während ich mit dem 'A' nicht einverstanden sein könnte, scheint das 'PT' sicherlich angemessen.

Neue Informationen werden jetzt bekannt. Es sieht so aus, als ob der Verstoß gegen RSA Security schwerwiegendere Auswirkungen auf die Kunden von RSA haben könnte, als RSA zuvor behauptet hatte. Anscheinend gab es einen erfolgreichen Angriff auf die Systeme von Lockheed Martin, der durch den früheren Verstoß bei RSA Security ermöglicht wurde. Es gibt Befürchtungen, dass die Angreifer Zugang zu sensiblen waffenbezogenen Informationen erhalten haben könnten, und Vorschläge, dass die Motivation für den Angriff auf die RSA-Sicherheit darin bestanden haben könnte, diese Art von Angriffen auf Militärunternehmer und andere Kunden der RSA-Sicherheit zu ermöglichen. P. >

Dies scheint für RSA Security ein ernstes blaues Auge zu sein. Zuvor hatte RSA Security versucht, die Auswirkungen eines Sicherheitsfehlers auf die Kunden herunterzuspielen. Nun sieht es so aus, als ob ihren früheren Behauptungen nicht vertraut werden kann. Dies ist ein großer Erfolg für die Glaubwürdigkeit von RSA. Im Moment sieht es so aus, als ob die Leute schrecklich vorsichtig sein sollten, sich aus Sicherheitsgründen auf SecurID-Token (und möglicherweise andere RSA-Sicherheitssysteme) zu verlassen. Wir werden sehen, ob zusätzliche Informationen auftauchen, um eine fundiertere Analyse zu ermöglichen.

Als der Vorfall passierte, teilte Professor Steven Bellovin einige seiner Gedanken darüber mit, was gestohlen worden sein könnte und wie es verwendet werden könnte. https://www.cs.columbia.edu/~smb/blog/ 2011-03 / 2011-03-18.html Er hat gestern ein Follow-up veröffentlicht: https://www.cs.columbia.edu/~smb/blog/2011-05/2011-05 -28.html

Bearbeitet am 07.07.2011:

Weitere Details wurden heute von der Firma bekannt gegeben und es gibt eine Artikel bei arstechnica, der beschreibt, was bis zu einem gewissen Grad passiert ist.

Es scheint, dass RSA den Samen jedes einzelnen Tokens gespeichert hat (.. warum?) und diese gestohlen wurden, also alle Der Angreifer musste über Keylogger-Benutzerkennwörter schnüffeln / raten / erhalten, um darauf zuzugreifen.

Das Unternehmen sagte, dass alle 40 Millionen RSA-Token ersetzt werden sollen ...

Hier ist das beste Tutorial / die beste Einführung in das, was schief gelaufen ist, was ich bisher gesehen habe. Es enthält viele technische Details zur Funktionsweise von SecurID, zur Entstehung eines Sicherheitsrisikos und zu den wahrscheinlichen Auswirkungen.

Auf dem RSA SecurID-Kompromiss (Dan Kaminskys Blog)

Weitere Informationen zur Sicherheitsverletzung durch RSA SecurID sind verfügbar: insbesondere, wie die Angreifer Malware auf RSA-Systeme übertragen haben. Ein neuer Wired-Artikel von Kim Zetter besagt, dass die Hacker gezielte Phishing-E-Mails (Spear-Phishing) verwendet haben. Es zeigt sich auch, dass der Angriff ziemlich unkompliziert war: Nur eine einfache E-Mail mit einem Excel-Anhang, der beim Öffnen eine Sicherheitsanfälligkeit in Adobe Flash ausnutzte, um den Computer des Empfängers zu gefährden. F-Secure hat einen Blog-Beitrag mit weiteren Details.

WeldPond hat gerade diesen Link von Lockheed getwittert:

http://allthingsd.com/20110528/lockheed-martin-confirms-it-came-under-attack/?refcat=news