12:50
18/3/2011

RSA dość enigmatycznie poinformowała o włamaniu na swoje serwery. Atakujący uzyskali dostęp do “części danych związanych z produktem SecurID”.

Co wykradziono?

W oświadczeniu RSA możemy przeczytać, że niektóre z wykradzionych danych mają związek z tokenami SecurID zapewniającymi dwuskładnikowe uwierzytelnienie. Według RSA, wykradzione dane nie pozwalają na udany bezpośredni atak na żadnego klienta, ale mogą potencjalnie zostać wykorzystane do zmniejszenia efektywności dwuskładnikowego uwierzytelnienia.

SecurID

Token SecurID

Paweł Krawczyk, na swoim blogu zastanawia się, czy przypadkiem nie wykradziono bazy seedów (lub jej części), i wyjaśnia:

Zasada działania tokentów SecurID jest stosunkowo prosta. Jawny algorytm kryptograficzny oparty o AES generuje hasła jednorazowe na podstawie aktualnego czasu, który jest w każdym tokenie taki sam, oraz losowej wartości inicjalizującej (seed), która w każdym tokenie jest inna. Ponieważ wszystkie pozostałe dane wejściowe są jawne, jedyną wartością tajną w systemie jest seed. Mając seed i numer seryjny tokenu serwer SecurID (ACE) oblicza wartość, o której w danym momencie czasu “myśli” fizyczny token.

W przypadku kradzieży seedów, atakujący musi jeszcze zdobyć numer seryjny tokenu, a to, jak pisze Krawczyk, może być zadaniem łatwiejszym niż kradzież tokenu. Bezpieczniejsi w tej sytuacji będą właściciele tokenów działających w trybie passcode — nadal tylko oni znają wymagany do obsługi tokenu PIN.

Jak na razie, z informacji udzielonych przez RSA nie da się niczego określić jednoznacznie. RSA przesyła klientom seedy w pliku .xml na CD — nie wiadomo, czy trzyma ich kopie na swoich serwerach (nie gwarantuje, że nie trzyma). Czy hipoteza z wykradzionymi seedami jest prawidłowa będziemy mogli się przekonać dopiero wtedy, kiedy poszkodowane firmy zaczną wymieniać tokeny. Jeśli zaczną.

Jak wykradziono?

RSA nie opisuje w jaki sposób dokonano ataku, który firma sklasyfikowała jako APT (Advanced Persistent Threat), czyli trochę “buzzwordowe” określenie na dobrze przygotowany atak, skierowany w konkretne osoby/częsci infrastruktury firmy, poprzedzony zebraniem szczegółowych informacji o celu. RSA nie podało jednak żadnych szczegółów dotyczących ataku — i to należy podkreślić, żeby wszystkie teorie, które pewnie będą się przez najbliższe dni rodziły traktować wyłącznie w kategoriach domysłów (dopóki nie zostanie opublikowane oficjalne stanowisko RSA).

Brak szczegółów w tej kwestii ataku, m.in. kiedy i jak do niego doszło, rodzi żarty, że błąd mógł być mniej poważny niż jest to przedstawiane. Są też osoby, które próbują powiązać atak na RSA z zeszłoroczną operacją Aurora, czyli atakami najprawdopodobniej Chińczyków na kilkanaście znanych, amerykańskich firm (m.in. Google). RSA z kolei konsekwentnie odmawia dalszych komentarzy, jednak w e-mailu do klientów RSA zawiera następujące wskazówki:

Zalecamy podążąnie za regułą najmniejszych przywilejów.
Zalecamy szkolenia pracowników dotyczące rozróżniania podejrzanych wiadomości e-mail i wykrywania prób włudzeń danych osobowych.
Zalecamy umocnienie i monitoring oraz ograniczenie zdalnego dostępu do platformy hostującej ważne dla bezpieczeństwa oprogramowanie
Zalecamy aktualizacje systemów i rozwiązań bezpieczeństwa do najnowszej wersji oraz zaaplikowanie odpowiednich patchy.

Szacuje się, że z rozwiązania SecurID korzysta ok. 40 milionów użytkowników. Dajcie znać, jeśli w waszej firmie zaczną “unieważniać” tokeny.

Przeczytaj także:



48 komentarzy

Dodaj komentarz
  1. Ok, wymieniać tokeny. A skąd gwarancja, że wymienią na takie których seedy także nie wyciekły? W końcu pewnie nie są produkowane na zamówienie, tylko jakaś ich ilość jest już gdzieś w magazynie i czeka na wydanie klientom.

  2. Gdyby podany przez Was cytat w oryginalnej wiadomości był po niemiecku to też byście wkleili go bez tłumaczenia?

  3. Powinni zacząć wymieniać na tokeny chronione kodem PIN. RSA takie robi, mają wielkość karty kredytowej.

    • …a także w formie softwareowej.

  4. Nie chciałbym być w skórze tych włamywaczy do RSA. FBI się tym zajmie i nie będą mieli ciekawie. Niestety takie akcje sprzyjają próbom ograniczania wolności w internecie, łącznie z możliwym wprowadzeniem wymogu jednoznacznej identyfikacji internauty. Zwolennicy wolności w sieci znajdą się w defensywie nawet w USA. Z drugiej strony z czarnym rynkiem trzeba walczyć, ale to wymaga działań wykraczających poza internet, przede wszystkim utrudniania procederu prania brudnych pieniędzy, bo przecież zyski z przestępstwa muszą być wyprane.

    • Może wymierzenie kary będzie pod CIA podlegało?

      Takie akcje nie mogą być uzasadnieniem dla ograniczenia wolności. Osoby, które popełniają przestępstwa na tym poziomie raczej łatwo będą potrafiły pożyczyć sobie cudzą tożsamość. Jednoznaczna identyfikacja piętnuje Kowalskiego.
      Ten kto rezygnuje z wolności w imię bezpieczeństwa nie zasługuje na żadne z dwóch.

    • @Bartek
      Oczywiście, ale niestety to jest dobra wymówka – tak jak pedofilia. Ilu jest faktycznie pedofili w internecie? Jeśli się nie mylę, bo pisze z pamięci, to w Niemczech różnych przestępstw seksualnych w stosunku do dzieci popełnili w 60-70% członkowie rodziny, 20% nauczyciele i wychowawcy, itp. Internet jest na szarym końcu, a jednak podstawowa dyskusja polityków na temat internetu to pedofilia. I w efekcie to jest podstawowym argumentem prób cenzury. “Hakerzy” mogą być kolejnymi, bo trudno będzie takiemu panu posłowi wytłumaczyć, że nawet w państwie super-totalitarnym przestępca pewnie i tak znajdzie “swój” sposób.

    • @Paweł Nyczaj: Sugerujesz ze ludzie ktorzy sie tam wlamali nie wiedza jak ten swiat jest zbudowany? Moze jeszce dokonali tego ze swojego lacza ala neostrada?

  5. Spekulował bym ,że skradziono jakąś część materiałów badawczych nad obecnym systemem raczej niż tylko część bazy seedów. Może jakąś analizę jego słabości którą zajmował się pracownik albo badany przez niego sposób ataku.

  6. Istnieje teraz prawdopodobieństwo pojawiania się stron wyłudzających numery seryjne tokenów – nowy rodzaj “Phishingu”. Kto zna posiadacza tego ustrojstwa, proszony jest powiadomić, że bank pyta jedynie o kod na wyświetlaczu, nie zaś o numer seryjny – ten ostatni należy chronić, tokena nie pokazywać nikomu etc. etc.

    • Ależ oczywiście, że pytają!
      Raz na każdy token, żeby potwierdzić a potem proszą o podanie kodu, żeby potwierdzić a potem życzą miłego dnia i mówią do usłyszenia :) (chyba że mowią “do widzenia” to wtedy jest niefajnie).

  7. W sumie pewnym wyjściem byłoby takie rozwiązanie problemu wyłudzania numerów seryjnych. Otóż można byłoby umieścić na tokenie fragment numeru seryjnego, zaś cały numer na potwierdzeniu wydania tokena (podobnie jak maskowane są numery kart w niektórych systemach transakcyjnych). Jest to szczególnie ważne w tokenach OTP (One Time Password). Jednak nie od dziś wiadomo, że lepsze są tokeny challenge-response chronione pinem. Istnieją takie tokeny zintegrowane z kartami płatniczymi Visa (rozwiązanie Visa SureCode http://www.visaeurope.com/en/about_us/innovation/visa_codesure.aspx). Również MasterCard zamierza to wprowadzić (MasterCard Display Card w wersji OTP i Challenge-Response http://www.mastercard.com/us/company/en/newsroom/next_generation.html, http://prnews.pl/michal-krynski/tajna-bron-mc-w-wojnie-z-gotowka-52531.html).

    @Bartek
    Nie jestem za ograniczaniem wolności netu, ale obawiam się, że władze zyskują argumenty za takimi zapędami. Z drugiej strony kazdy wie, że strony wyłudzające informację oraz zły haking nakierowany na kradzież danych (kraking) trzeba tępić by chronić firmy i obywateli.

    • @Paweł Nyczaj
      Ja tu tylko sprzątam ale ten argument jest płytki i populistyczny. Żaden poważny polityk nie może liczyć, że zajedzie zbyt daleko na takim wózku. Muszą sobie uświadomić, że ludzie zdają sobie sprawę z tego, że pod pretekstem walki z obrzydliwym przestępstwem chce się wprowadzić rozwiązania które może dotknąć każdego w sposób fundamentalny kneblując i dając operatorowi systemu operacyjną możliwość zastraszenia i kryminalizowania Kowalskiego.
      Jak za starych dobrych czasów, kiedy ludzie niebezpieczni dla jedynej słusznej partii mieli swoje teczki, w których zbierano wszystko co się może przydać.

      @Lev
      Jedyną drogą dla Europy jest oparcie się na wiedzy. Chiny produkują, Indie programują, USA finansuje itp. I nie będzie Europa w tym od nich lepsza. Jedyną nadzieją jest stworzenie efektywnej wartości intelektualnej, jej ochrona i wykorzystanie. Mamy w tej chwili do czynienia z poważnym globalnym transferem własności intelektualnej. To włamanie może być jego elementem. W każdym razie strategicznie jest to większy problem dla przetrwania i prosperowania Europy niż potrzeba identyfikacji obywateli.

  8. pewnie znowu chinczycy cos mącą

  9. Jak już taka poważna firma wyspecjalizowana w dziedzinie IT Security wymięka to na hakerstwo chyba już nie ma ratunku. Do każdego się kiedyś włamią, tylko kwestia czasu, to jest nieuniknione… :(

    • Może się okazać, że jakiś pracownik nie zachował ostrożności. W tak dużej korporacji jakaś luka (nie jedna) się znalazła, choć w firmie z tej dziedziny powinni być na to wyjątkowo wyczuleni.

    • Jest też inny problem: coraz więcej urządzeń w firmach pracuje w sieciach, również z dostępem do internetu. Niekiedy zupełnie niepotrzebnie. Krytyczne dla bezpieczeństwa operacje powinno się wykonywać tylko na stanowiskach niepodłączonych od sieci. Zapory czy IPS-y niech się showają – tylko izolacja fizyczna! Stanowiska powinny być wykonane w technologii TEMPEST aby zapobiec podsłuchom elektromagnetycznym. Nośniki z poufnym materiałem kryptograficznym też powinny być właściwie przechowywane. Tymczasem z nagłówka czytam, że włamali się na jakieś serwery RSA – co to za serwery???

    • Do takich krytycznych operacji, o których piszę powyżej, można zaliczyć: generowanie par kluczy, podpisywanie certyfikatów CA, programowanie układów kryptograficznych w tym tokenów.

    • Nie ma czegoś bezpiecznego w 100%. Jak nie będzie podłączony do sieci, to przyjdą i ukradną, jak kradną banknoty. Jak nie wyślesz siecią to przechwycą przesyłkę, skopiują i puszczą dalej.

  10. czy szanowny pan redaktor może zainstalować sobie język angielski w spellcheckerze?

    • przepraszam za offtopa, ale szlag mnie trafia jak czytam takie komentarze. Po jaką cholerę zaśmiecasz dyskusję? Nic mnie tak nie rozbraja jak komentarz pseudo-purysty językowego pod technicznym artykułem.

    • Czy szanowny Pan był by uprzejmy używać dużych liter?

  11. W naszej firmie używamy takich tokenów. Jak na razie nie było żadnego wewnętrznego memo odnośnie tego włamania czy informacji o wymiany tokenów. Poczekamy-zobaczymy…

    A tak poza tym, to przy korzystaniu z tokena, oprócz jednorazowego hasła, należy także podać indywidualny PIN. Więc nawet, jakby ktoś wykradł dane tego tokena (czy nawet ukradł całego tokena), to niewiele zdziała (po 3 nieudanych próbach logowania, dostęp do sieci jest blokowany).

  12. Szanowny Panie,
    bezpieczeństwo jest jedną z podstawowych wartości, którymi kieruje się LUKAS Bank. Strzeżemy prywatności naszych Klientów i dbamy o bezpieczeństwo ich danych oraz środków. Jesteśmy w stałym kontakcie z firmą RSA i na bieżąco monitorujemy sytuację. Prosimy, by korzystając z bankowości elektronicznej przestrzegać podstawowych zasad bezpieczeństwa, które opisane są m..in. na stronie: http://www.lukasbank.pl/bezpieczenstwo/korzystanie-z-e-banku
    Przypominamy również, że nigdy nie należy odpowiadać na wiadomości mailowe, których nadawcy proszą o ujawnienie czy zweryfikowanie danych osobowych Klienta oraz poufnych informacji takich, jak: identyfikator i hasło konta internetowego, numer konta, telekod, numer pin do karty płatniczej/kredytowej czy też sam numer karty. Zapewniamy, że LUKAS Bank nigdy nie wysyła tego typu wiadomości, ani też takich, w których linki/odnośniki prowadzą bezpośrednio do stron z oknem logowania do transakcyjnego systemu bankowego. Po otrzymaniu takiego maila należy go zignorować oraz powiadomić o tym Bank dzwoniąc na LUKASlinię 801 33 11 11, 71 35 49 002.
    Pozdrawiam.

    • Taką odpowiedź otrzymałem od LB jako klient po poinformowaniu ich o zdarzeniu, czyli “nie wiemy o co mu chodzi, ale mamy na to standardową formułkę odpowiedzi” ;) Jak zwykle z resztą

    • @A: nie wiem, jakim cudem wywnioskowałeś że Lukas nie wie o co chodzi? Ja tam widzę “stały kontakt z firmą RSA i monitorowanie sytuacji”. Dodatkowo, ostrzeżenie przed phishingiem (pamiętać należy, że potencjalny atakujący musi zdobyć numer seryjny tokenu/PIN), więc w mojej opinii, dostałeś bardzo poprawną odpowiedź.

    • Nie wiem jak działa od kuchni obsługa klienta w LB, ale wiem jak w Citi i u kilku dostawców internetu w Łodzi. Coś klientowi trzeba odpisać w sprawie o której pisał, więc napiszemy, że wiemy, rozumiemy, działamy i sprawę pchnie się do /dev/null może się klient odczepi. W odpowiedzi nie ma ani słowa o tokenie, więc pracownik nawet nie zadał sobie trudu, żeby się dowiedzieć czego sprawa dotyczy.

  13. Bank Samochodów Dla Ludu Pracującego (Volksvagen Bank) korzysta z takich tokenów. Czemu uzskanie numeru seryjnego może być prostsze niż kradzież? Czy moglibyście rozwiąć?

  14. W komentarzach do sprawy na http://www.schneier.com/blog/archives/2011/03/rsa_security_in.html
    Ktoś informuje, że z nieznanych mu powodów Credit Suisse w Szwajcarii 18 marca wysłało do niego list o rezygnacji z SecurID. Może zbieg okoliczności.

    @pielgrzym
    Ja tu tylko sprzątam ale.
    Uzyskanie numeru seryjnego jest o tyle lepsze niż kradzież, że nie zauważysz jego zniknięcia i nie zastrzeżesz.
    W skrajnych przypadkach pewnie łatwiej go uzyskać dzięki monitoringowi wideo podczas wykorzystania.Na przykład obserwując wartość z wyświetlacza i określając który seed wygenerował ją w danym momencie czasu.

    W ten sam sposób mając wszystkie seedy można prawdopodobnie przechwytując ruch od klienta i wartości wygenerowane w danych momentach(na przykład podczas przechwyconych logowań) odkryć, który seed je wygenerował i policzyć sobie przyszłe wartości.

    W na prawdę laboratoryjnych przypadkach pewnie jest też jakieś promieniowanie wartości podczas zmiany na wyświetlaczu, które można odczytać na przykład umieszczając urządzenie obok portfela z tokenem.

    • Jak ja piszę. Proszę moderatora o poprawienie. Miało być.

      @pielgrzym
      Ja tu tylko sprzątam ale.
      Uzyskanie numeru seryjnego jest o tyle lepsze niż kradzież, że nie zauważysz jego zniknięcia i nie zastrzeżesz.
      W skrajnych przypadkach pewnie łatwiej go uzyskać dzięki monitoringowi wideo podczas wykorzystania.

      Można też złamać uwierzytelnienie na przykład obserwując wartość z wyświetlacza i określając który seed wygenerował ją w danym momencie czasu.W ten sam sposób mając wszystkie seedy można prawdopodobnie przechwytując ruch od klienta i wartości wygenerowane w danych momentach(na przykład podczas przechwyconych logowań) odkryć, który seed je wygenerował i policzyć sobie przyszłe wartości.

      W “laboratoryjnych” przypadkach pewnie jest też jakieś promieniowanie wartości podczas zmiany na wyświetlaczu, które można odczytać na przykład umieszczając urządzenie obok portfela z tokenem.

  15. […] swoje oświadczenie w sprawie niedawnego włamania, w wyniku którego nieznani sprawdzy wykradli bliżej niesprecyzowane dane związane z tokenami SecurID. W skrócie, trzasnęli ich 0day’em na Flasha – pracownik wyciągnął wiadomość ze […]

  16. […] Włamanie na serwery RSA. Wykradziono (bliżej niesprecyzowane) dane związane z SecurID […]

  17. Seedy mają niezłą wartość na czarnym rynku. Już pierwsze ataki były, bardzo dobrze nakierowane.

    • Możesz podać/przybliżyć źródło tej informacji?

  18. […] Ciekawe kolejny raz w PR-owym oświadczeniu padnie magiczne słowo […]

  19. […] do Lockheed Martin, producenta m.in. samolotów F-22, jest wiązane z wcześniejszym włamaniem do RSA. Przypomnijmy, że w wyniku ataku na RSA ciągle nieznani włamywacze wykradli najprawdopodobniej […]

  20. […] się stało; zwłaszcza co zostało wykradzione i do czego mogą to wykorzystać atakujący. Firma wybrała jednak chowanie się za takimi zwrotami jak “APT” oraz , “very sophisicated cyber attack”, czym […]

  21. […] szczegółów: HOTP: An HMAC-Based One-Time Password Algorithm). Jakiś czas temu miało miejsce włamanie do RSA, w trakcie którego wykradziono "bliżej niesprecyzowane dane" związane z tokenami SecureID. Od […]

  22. […] opublikowało świetnego posta, w którym objaśnia jak dokładnie doszło do ataku na RSA. Jeden z pracowników F-Secure dotarł do oryginalnego e-maila, który został wykorzystany w ataku […]

  23. […] przez Duqu dane mają pomóc w przeprowadzaniu kolejnych, bardziej ukierunkowanych ataków (por. ataki na RSA, które rzekomo pomogły w ataku na Lockheed […]

  24. […] wykonywanych przez “dzieci LOIC-a i HOIC-a” oraz słabości w zabezpieczeniach nawet dużych firm związanych z IT Security, nie sposób nie poświęcić powyższej refleksji kilku chwil zadumy… Ah gdyby tak móc na […]

  25. Mam w tym momencie trzy tokeny: w Credit Agricole, Volksvagen Banku oraz w Toyota Banku. Żadnej informacji nie dostałem.

  26. […] handlarzy bronią zastąpią handlarze exploitami? Już teraz można powiedzieć, że 0day jest równie skuteczny jak precyzyjnie wycelowany w serce wroga nabój. A mimo wszystko mniej […]

  27. […] Czyżby i tym razem wektor ataku był podobny? Być może atakujący przejęli skrzynkę jednego z pracowników KPRM lub korzystając ze spoofingu nakłaniali innych pracowników KPRM do instalacji złośliwego oprogramowania (por. Jak włamano się do RSA)? […]

  28. […] na Adobe przypomina włamanie do RSA sprzed 2 lat. Dzięki niemu włamywacze zdobyli seedy tokenów, co pozwoliło im wyliczać […]

Twój komentarz

Zamieszczając komentarz akceptujesz regulamin dodawania komentarzy. Przez moderację nie przejdą: wycieczki osobiste, komentarze nie na temat, wulgaryzmy.

RSS dla komentarzy: