Algunos buenos puntos se hacen en el blog Schneier on Security: RSA Security, Inc Hacked .
La preocupación es que el código fuente del producto de autenticación de dos factores SecurID de la empresa fue robado, lo que posiblemente permitiría a los piratas informáticos realizar ingeniería inversa o interrumpir el sistema. Es difícil hacer una evaluación sobre si esto es posible o probable sin saber 1) cómo funciona la criptografía de SecurID y 2) exactamente qué fue robado de los servidores de la compañía. Tampoco lo sabemos, y el giro corporativo es tan breve en detalles como largo en garantías.
...
La seguridad tiene que ver con la confianza, y cuando se pierde la confianza no hay seguridad. El usuario de SecurID confió en RSA Data Security, Inc. para proteger los secretos necesarios para proteger ese sistema. En la medida en que no lo hicieron, la compañía ha perdido la confianza de sus clientes.
Actualizado para corregir algunos conceptos erróneos ...
Los cálculos del código de acceso de SecurID ya habían sido diseñados por ingeniería inversa; consulte RSA SecurID data comprometida y Cain and Able . El algoritmo requiere la clave AES específica del token ("registro semilla") que proporciona RSA junto con el token.
Los comentarios en el blog de Schneier especulan sobre las posibles implicaciones. Parece probable que se haya robado algún tipo de base de datos de semillas para cada número de serie, lo que permite a los atacantes que conocen el número de serie (impreso en la parte posterior del token) y pueden averiguar la configuración del reloj del token (por ejemplo, al ver algunos códigos de acceso). ) para obtener la semilla y calcular futuros códigos de acceso. Si SecurID se usa solo para la autenticación, eso es todo lo que necesitarían. Si es parte de un sistema de 2 factores, p. Ej. si se usa junto con una contraseña o PIN, esto se reduciría a un sistema de un factor.
¡Me sorprende que SecurID se haya alejado tanto tiempo con tanta seguridad en su diseño! Me pregunto si retienen las semillas para todos los dispositivos que venden, lo que parece ser un gran riesgo.
Actualización: Lockheed fue atacado, según informes a través de claves SecurID copiadas: Lockheed Martin confirma que llegó bajo ataque - AllThingsD
Actualización: As @ D.W. notas, el blog de Dan Kaminsky En el compromiso RSA SecurID tiene una discusión más completa de los problemas aquí, que generalmente está de acuerdo con Los comentarios del blog que anoté aquí, aunque no dan mucho peso a los temores de Schneier de nuevos ataques basados en un supuesto robo de código fuente.