¿Alguien tiene información adicional sobre el compromiso de EMC RSA SecurID?

Un montón de FUD, pero algunos fragmentos están saliendo. Cita de enlace

Una posibilidad, dijo Whitfield Diffie, un especialista en seguridad informática que fue un inventor de los sistemas criptográficos que ahora se usa ampliamente en el comercio electrónico, es que una "clave maestra" (un gran número secreto utilizado como parte del algoritmo de cifrado) podría tener ha sido robado.

Algunos buenos puntos se hacen en el blog Schneier on Security: RSA Security, Inc Hacked .

  

La preocupación es que el código fuente del producto de autenticación de dos factores SecurID de la empresa fue robado, lo que posiblemente permitiría a los piratas informáticos realizar ingeniería inversa o interrumpir el sistema. Es difícil hacer una evaluación sobre si esto es posible o probable sin saber 1) cómo funciona la criptografía de SecurID y 2) exactamente qué fue robado de los servidores de la compañía. Tampoco lo sabemos, y el giro corporativo es tan breve en detalles como largo en garantías.

     

...

     

La seguridad tiene que ver con la confianza, y cuando se pierde la confianza no hay seguridad. El usuario de SecurID confió en RSA Data Security, Inc. para proteger los secretos necesarios para proteger ese sistema. En la medida en que no lo hicieron, la compañía ha perdido la confianza de sus clientes.

Actualizado para corregir algunos conceptos erróneos ... Los cálculos del código de acceso de SecurID ya habían sido diseñados por ingeniería inversa; consulte RSA SecurID data comprometida y Cain and Able . El algoritmo requiere la clave AES específica del token ("registro semilla") que proporciona RSA junto con el token.

Los comentarios en el blog de Schneier especulan sobre las posibles implicaciones. Parece probable que se haya robado algún tipo de base de datos de semillas para cada número de serie, lo que permite a los atacantes que conocen el número de serie (impreso en la parte posterior del token) y pueden averiguar la configuración del reloj del token (por ejemplo, al ver algunos códigos de acceso). ) para obtener la semilla y calcular futuros códigos de acceso. Si SecurID se usa solo para la autenticación, eso es todo lo que necesitarían. Si es parte de un sistema de 2 factores, p. Ej. si se usa junto con una contraseña o PIN, esto se reduciría a un sistema de un factor.

¡Me sorprende que SecurID se haya alejado tanto tiempo con tanta seguridad en su diseño! Me pregunto si retienen las semillas para todos los dispositivos que venden, lo que parece ser un gran riesgo.

Actualización: Lockheed fue atacado, según informes a través de claves SecurID copiadas: Lockheed Martin confirma que llegó bajo ataque - AllThingsD

Actualización: As @ D.W. notas, el blog de Dan Kaminsky En el compromiso RSA SecurID tiene una discusión más completa de los problemas aquí, que generalmente está de acuerdo con Los comentarios del blog que anoté aquí, aunque no dan mucho peso a los temores de Schneier de nuevos ataques basados en un supuesto robo de código fuente.

Los informes de noticias sugieren que la infracción de seguridad de RSA pudo haber permitido a los atacantes clonar (duplicar) los tokens SecurID utilizados por los empleados de Lockheed-Martin para obtener acceso a las redes de Lockheed-Martin. (También hay informes de que RSA Security está respondiendo al reemplazar los tokens SecurID de sus clientes por otros nuevos .)

Lamentablemente, es difícil saber en este momento qué puede haber sucedido. RSA Security ha estado en silencio sobre exactamente a qué información o sistemas RSA accedieron los piratas informáticos. Los detalles técnicos hacen una gran diferencia en la evaluación del impacto potencial de la infracción de seguridad de RSA anterior. El peor de los casos es que los atacantes podrían haber robado el material de clave criptográfica presente en los tokens de SecurID, e información sobre los nombres de usuario / cuentas de los titulares de token de SecurID. Esto sería muy serio, porque el material clave es el secreto central que controla el acceso a las redes; un intruso con acceso al material clave puede clonar el token de SecurID y montar muchos ataques poderosos. También hay muchas otras posibilidades que son menos serias. Por ejemplo, en el otro extremo está la posibilidad de que los piratas informáticos no obtuvieron acceso a ninguna información confidencial en RSA. Hay muchas posibilidades entre estos dos extremos. En este punto, todo lo que tenemos es especulación.

Parte de lo que hace que sea difícil saber lo que está pasando es que RSA Security se está callando sobre esto. Eso dificulta saber cuáles pueden ser los riesgos, lo que a su vez dificulta que los clientes de SecurID protejan sus propios sistemas contra esos riesgos. Es tentador asumir lo peor, en la falta de información, pero es difícil saber si eso está realmente justificado. (Opinión personal: estos incidentes generan dudas sobre si RSA Security lo ha manejado con prudencia y si actuaron en el mejor interés de sus clientes. Después de este incidente, espero que muchas personas de seguridad se muestren más reacias a confiar en su fe y confíe en RSA Security en el futuro.

Hemos llegado al punto en el que la información de parte está comenzando a difundirse, tome esta publicación de blog de Uri Rivner. Wanner lo resume en esta publicación del blog de ISC . Según lo detallado por Wanner:

  

• La primera parte del ataque fue un intento de phishing dirigido a   objetivos no de alto perfil. los   La información sobre los objetivos era más   probablemente extraído de las redes sociales   sitios Todo lo que tomó fue uno de los   empleados dirigidos que fue engañado   en abrir un Excel adjunto   hoja de cálculo.
  
• La hoja de cálculo de Excel contenía una vulnerabilidad de día cero dirigida a un Adobe   Vulnerabilidad de flash.
  
• El exploit agregó una puerta trasera. e instaló una administración remota   programa.
  
• El malware luego capturó las credenciales de las cuentas de usuario en orden   para comprometer objetivos de mayor valor.
  

Ciertamente se ve como un ataque razonablemente poco sofisticado, pero dirigido. Están, por supuesto, lanzando alrededor de la palabra de moda APT. Si bien podría estar en desacuerdo con la 'A', el 'PT' ciertamente parece apropiado.

La nueva información ahora está saliendo a la luz. Parece que la violación de RSA Security puede tener implicaciones más graves para los clientes de RSA de lo que RSA afirmó anteriormente. Aparentemente ha habido un un ataque exitoso a los sistemas de Lockheed Martin , que fue posible gracias a la violación anterior en RSA Security. Existe el temor de que los atacantes puedan haber accedido a información sensible relacionada con armas, y sugerencias de que la motivación del ataque a RSA Security pudo haber sido para permitir este tipo de ataques contra contratistas militares y otros clientes de RSA Security.

Esto está empezando a parecer un ojo negro serio para RSA Security. Anteriormente, RSA Security intentó minimizar las implicaciones para sus clientes de su fallo de seguridad. Ahora, parece que sus afirmaciones anteriores no son confiables. Este es un gran éxito para la credibilidad de RSA. En este momento, parece que la gente debería tener mucho cuidado de confiar en los tokens de SecurID (y potencialmente en otros sistemas de seguridad RSA) para la seguridad. Veremos si surge información adicional para permitir un análisis más informado.

Cuando el incidente ocurrió, el profesor Steven Bellovin compartió algunos de sus pensamientos sobre lo que podría haber sido robado y cómo podría usarse, enlace Ayer publicó un seguimiento: enlace

Editado el 07/07/2011:

Más detalles surgieron hoy de la compañía y hay un artículo sobre arstechnica que describe lo que sucedió hasta cierto punto.

Parece que RSA estaba almacenando la semilla de cada token (... ¿por qué?) y los robaron, por lo que todo lo que el atacante tenía que hacer era rastrear / adivinar / obtener a través de los keyloggers contraseñas de usuario para ingresar.

La compañía dijo que los 40 millones de tokens rsa serán reemplazados ...

Aquí está el mejor tutorial / introducción a lo que salió mal que he visto todavía. Tiene una gran cantidad de detalles técnicos sobre cómo funcionaba SecurID, por qué crean un riesgo de seguridad y las posibles implicaciones.

En el compromiso de RSA SecurID (blog de Dan Kaminsky)

Ha quedado disponible más información sobre la violación de seguridad de RSA SecurID: en particular, cómo los atacantes introdujeron malware en los sistemas RSA. Un nuevo artículo de Wired por Kim Zetter dice que los hackers usaron correos electrónicos de phishing dirigidos (spear-phishing). También revela que el ataque fue bastante poco sofisticado: solo un simple correo electrónico con un archivo adjunto de Excel que, cuando se abrió, aprovechó una vulnerabilidad en Adobe Flash para comprometer la computadora del destinatario. F-Secure tiene una publicación de blog con más detalles .

WeldPond acaba de twittear este enlace desde Lockheed:

enlace