Alcuni punti positivi vengono fatti sul blog di Schneier on Security: RSA Security, Inc Hacked .
The worry is that source code to the company's SecurID two-factor authentication product was stolen, which would possibly allow hackers to reverse-engineer or otherwise break the system. It's hard to make any assessments about whether this is possible or likely without knowing 1) how SecurID's cryptography works, and 2) exactly what was stolen from the company's servers. We do not know either, and the corporate spin is as short on details as it is long on reassurances.
...
Security is all about trust, and when trust is lost there is no security. User's of SecurID trusted RSA Data Security, Inc. to protect the secrets necessary to secure that system. To the extent they did not, the company has lost its customers' trust.
Aggiornato per correggere alcuni malintesi ....
I calcoli del codice di accesso SecurID erano già stati decodificati - vedi RSA SecurID data compromesso e Cain and Able . L'algoritmo richiede la chiave AES specifica del token ("seed record") fornita da RSA insieme al token.
I commenti nel blog di Schneier ipotizzano le possibili implicazioni. Sembra probabile che una sorta di database di semi per ogni numero seriale sia stato rubato, consentendo agli attaccanti che conoscono il numero seriale (stampato sul retro del token) e in grado di capire l'impostazione dell'orologio del token (ad esempio vedendo alcuni codici di accesso ) per ottenere il seme e calcolare i futuri codici di accesso. Se il SecurID viene utilizzato da solo per l'autenticazione, è tutto ciò di cui avrebbero bisogno. Se fa parte di un sistema a 2 fattori, ad es. usato insieme a una password o PIN, questo lo ridurrebbe a un sistema a un fattore.
Sono stupito che SecurID sia andato via così a lungo con tanta sicurezza attraverso l'oscurità nel loro design! Mi chiedo se conservano i semi per tutti i dispositivi che vendono - sembra un grosso rischio.
Aggiornamento: Lockheed è stato attaccato, secondo quanto riferito tramite chiavi SecurID copiate: Lockheed Martin conferma che è sotto attacco - AllThingsD
Aggiornamento: come @ D.W. note, il Blog di Dan Kaminsky Sul Compromesso RSA SecurID ha una discussione più completa sui problemi qui, che generalmente concorda con i commenti sul blog che ho notato qui, anche se non danno molto peso alle paure di Schneier sui nuovi attacchi basati su un ipotetico furto del codice sorgente.