Qualcuno ha ulteriori informazioni sul compromesso EMC RSA SecurID?

Un sacco di FUD, ma alcuni frammenti vengono fuori. Citazione dal link

Una possibilità, ha detto Whitfield Diffie, uno specialista di sicurezza informatica che è stato un inventore di sistemi crittografici ora ampiamente utilizzati nel commercio elettronico, è che una "chiave master" - un grande numero segreto usato come parte dell'algoritmo di crittografia - potrebbe avere stato rubato.

Alcuni punti positivi vengono fatti sul blog di Schneier on Security: RSA Security, Inc Hacked .

The worry is that source code to the company's SecurID two-factor authentication product was stolen, which would possibly allow hackers to reverse-engineer or otherwise break the system. It's hard to make any assessments about whether this is possible or likely without knowing 1) how SecurID's cryptography works, and 2) exactly what was stolen from the company's servers. We do not know either, and the corporate spin is as short on details as it is long on reassurances.

...

Security is all about trust, and when trust is lost there is no security. User's of SecurID trusted RSA Data Security, Inc. to protect the secrets necessary to secure that system. To the extent they did not, the company has lost its customers' trust.

Aggiornato per correggere alcuni malintesi .... I calcoli del codice di accesso SecurID erano già stati decodificati - vedi RSA SecurID data compromesso e Cain and Able . L'algoritmo richiede la chiave AES specifica del token ("seed record") fornita da RSA insieme al token.

I commenti nel blog di Schneier ipotizzano le possibili implicazioni. Sembra probabile che una sorta di database di semi per ogni numero seriale sia stato rubato, consentendo agli attaccanti che conoscono il numero seriale (stampato sul retro del token) e in grado di capire l'impostazione dell'orologio del token (ad esempio vedendo alcuni codici di accesso ) per ottenere il seme e calcolare i futuri codici di accesso. Se il SecurID viene utilizzato da solo per l'autenticazione, è tutto ciò di cui avrebbero bisogno. Se fa parte di un sistema a 2 fattori, ad es. usato insieme a una password o PIN, questo lo ridurrebbe a un sistema a un fattore.

Sono stupito che SecurID sia andato via così a lungo con tanta sicurezza attraverso l'oscurità nel loro design! Mi chiedo se conservano i semi per tutti i dispositivi che vendono - sembra un grosso rischio.

Aggiornamento: Lockheed è stato attaccato, secondo quanto riferito tramite chiavi SecurID copiate: Lockheed Martin conferma che è sotto attacco - AllThingsD

Aggiornamento: come @ D.W. note, il Blog di Dan Kaminsky Sul Compromesso RSA SecurID ha una discussione più completa sui problemi qui, che generalmente concorda con i commenti sul blog che ho notato qui, anche se non danno molto peso alle paure di Schneier sui nuovi attacchi basati su un ipotetico furto del codice sorgente.

I rapporti di notizie suggeriscono che la violazione della sicurezza RSA potrebbe aver permesso agli aggressori di clonare (duplicare) i token SecurID usati dai dipendenti della Lockheed-Martin per ottenere l'accesso alle reti Lockheed-Martin. (Ci sono anche rapporti che RSA Security sta rispondendo sostituendo i token SecurID dei clienti con quelli nuovi .)

Sfortunatamente, è difficile sapere a questo punto cosa può essere successo. RSA Security è stata la mamma riguardo esattamente a quali informazioni o sistemi RSA gli hacker hanno avuto accesso. Le specifiche tecniche fanno una grande differenza per la valutazione del potenziale impatto della precedente violazione della sicurezza RSA. Il caso peggiore è che gli hacker potrebbero aver rubato il materiale chiave crittografico presente nei token SecurID e le informazioni sui nomi utente / account dei titolari di token SecurID. Questo sarebbe molto serio, perché il materiale chiave è il segreto principale che controlla l'accesso alle reti; un intruso con accesso al materiale chiave può clonare il token SecurID e attivare molti attacchi potenti. Ci sono anche molte altre possibilità che sono meno serie. Ad esempio, all'altro estremo c'è la possibilità che gli hacker non abbiano avuto accesso ad alcuna informazione sensibile su RSA. Ci sono molte possibilità tra questi due estremi. A questo punto tutto ciò che abbiamo è speculazione.

Parte di ciò che rende difficile sapere cosa sta succedendo è che RSA Security ne è a bocca chiusa. Ciò rende difficile sapere quali potrebbero essere i rischi, il che a sua volta rende più difficile per i clienti SecurID proteggere i propri sistemi da tali rischi. Si è tentati di assumere il peggio, nella mancanza di informazioni, ma è difficile sapere se ciò sia effettivamente giustificato. (Opinione personale: questi incidenti sollevano dubbi sul fatto che RSA Security abbia gestito saggiamente questo aspetto e se abbiano agito nell'interesse dei propri clienti. Dopo questo incidente, mi aspetterei che molti addetti alla sicurezza saranno più riluttanti a mettere la loro fede e fidati di RSA Security in futuro.)

Quando è successo l'incidente, il professor Steven Bellovin ha condiviso alcune delle sue riflessioni su ciò che avrebbe potuto essere rubato e su come potrebbe essere usato, link Ha pubblicato un follow-up ieri: link

Modificato il 07/07/2011:

Ulteriori dettagli sono arrivati oggi dalla società e c'è un article over at arstechnica che descrive cosa è successo ad un grado.

Sembra che RSA stia conservando il seme di ogni singolo token (.. perché?) e quelli sono stati rubati, quindi tutto ciò che l'utente malintenzionato doveva fare è sniffare / indovinare / ottenere tramite le password utente dei keylogger per entrare.

La società ha detto che tutti i 40 milioni di token rsa saranno sostituiti ...

Ecco il miglior tutorial / introduzione a cosa è andato storto che ho già visto. Ha una grande quantità di dettagli tecnici su come ha funzionato SecurID, perché creano un rischio per la sicurezza e le probabili implicazioni.

On The RSA SecurID Compromise (blog di Dan Kaminsky)

Abbiamo raggiunto il punto in cui le alcune informazioni stanno iniziando a dare il via, prendi questo post di blog di Uri Rivner. Ulteriormente riassunto da Wanner in questo post del blog ISC . Come descritto da Wanner:

• The first part of the attack was a spear-phishing attempt aimed at non-high-profile targets. The information on the targets was most likely mined from social networking sites. All it took was one of the targeted employees who was tricked into opening an attached Excel spreadsheet.
• The Excel spreadsheet contained a zero-day exploit targeting an Adobe Flash vulnerability.
• The exploit added a backdoor. and installed a remote administration program.
• The malware then captured credentials for user accounts in order to compromise higher value targets.

Sembra certamente un attacco abbastanza semplice, ma mirato. Ovviamente stanno lanciando la parola d'ordine APT. Anche se potrei non essere d'accordo con la 'A', il 'PT' sembra certamente appropriato.

Nuove informazioni ora stanno venendo alla luce. Sembra che la violazione di RSA Security possa avere implicazioni più gravi per i clienti di RSA rispetto a quanto affermato in precedenza da RSA. Apparentemente c'è stato un attacco riuscito sui sistemi di Lockheed Martin , che è stato reso possibile dalla precedente violazione di RSA Security. Ci sono timori che gli aggressori possano aver avuto accesso a informazioni sensibili relative alle armi e suggerimenti che la motivazione per l'attacco a RSA Security potrebbe essere stata quella di abilitare questo tipo di attacchi agli appaltatori militari e ad altri clienti di RSA Security.

Questo sta cominciando a sembrare un serio occhio nero per RSA Security. In precedenza, RSA Security ha cercato di minimizzare le implicazioni per i propri clienti del loro errore di sicurezza. Ora, sembra che le loro affermazioni precedenti non siano attendibili. Questo è un grande successo per la credibilità di RSA. Al momento, sembra che le persone debbano essere molto caute nel affidarsi ai token SecurID (e potenzialmente ad altri sistemi di sicurezza RSA) per motivi di sicurezza. Vedremo se ulteriori informazioni emergeranno per consentire analisi più informate.

Sono disponibili ulteriori informazioni sulla violazione della sicurezza RSA SecurID: in particolare, in che modo gli hacker hanno rilevato malware sui sistemi RSA. Un nuovo articolo Wired di Kim Zetter afferma che gli hacker hanno utilizzato email di phishing mirate (spear-phishing). Rivela anche che l'attacco è stato abbastanza semplice: basta una semplice email con un allegato Excel che, una volta aperto, sfruttava una vulnerabilità in Adobe Flash per compromettere il computer del destinatario. F-Secure ha un post del blog con ulteriori dettagli .