web-dev-qa-db-ja.com

EMC RSA SecurIDの侵害に関する追加情報がありますか?

セキュリティアドバイザリプレスリリース ここ には多くの情報がありません。これを警告するメールはあまり役に立ちませんでした。残念ながら、木曜日の夜に行われる2回の電話会議について知りました(おかしな話です)。彼らがすでに起こった後、私は明日の朝まで次の電話を待つしかありません。

私は誰かが最初の2つの通話の1つの録音またはトランスクリプトおよび/または追加の有用な情報を持っているかどうか疑問に思っています。

私の推測では、誰かがトークンのシードレコードの一部をダウンロードしたと思います。 IIRC、顧客(そして明らかに悪意のある人)は、強力な第2要素なしでRSAサイトからシードレコードをダウンロードできます。皮肉な警告!

cryptographyauthenticationmulti-factorobscurity
14
Craig H

FUDはたくさんありますが、いくつかのスニペットが出てきます。 http://www.metafilter.com/101636/RSA-has-been-hacked からの引用

1つの可能性は、現在電子商取引で広く使用されている暗号化システムの発明者であったコンピューターセキュリティの専門家であるWhitfield Diffieによると、「マスターキー」(暗号化アルゴリズムの一部として使用される大きな秘密番号)が盗まれた可能性があります。

6
Rory Alsop

Schneier on Securityブログでいくつかの良い点が述べられています: RSA Security、Inc Hacked

心配は、同社のSecurID 2要素認証製品のソースコードが盗まれたことです。これにより、ハッカーがリバースエンジニアリングしたり、システムを破壊したりする可能性があります。これが可能かどうか、または1)SecurIDの暗号化がどのように機能するか、および2)正確に会社のサーバーから何が盗まれたかを知らずに、これが可能かどうかを評価することは困難です。私たちはどちらも知りません、そして、企業のスピンはそれが安心について長い間であると同時に詳細については短いです。

...

セキュリティはすべて信頼に関するものであり、信頼が失われるとセキュリティはありません。 SecurIDのユーザーは、RSA Data Security、Inc.を信頼して、そのシステムを保護するために必要な秘密を保護しました。彼らがそうしなかった範囲で、同社は顧客の信頼を失っています。

誤解を修正するために更新しました......SecurIDアクセスコードの計算はすでにリバースエンジニアリングされていました-を参照してください RSA SecurIDデータが侵害されましたおよびCain and Able。このアルゴリズムでは、RSAによってトークンとともに提供されるトークン固有のAESキー(「シードレコード」)が必要です。

Schneierのブログのコメントは、考えられる影響について推測しています。各シリアル番号のシードのある種のデータベースが盗まれた可能性が高いため、攻撃者はシリアル番号(トークンの裏に印刷)を知っており、トークンのクロック設定(たとえば、いくつかのアクセスコードを確認すること)を知ることができます。 )シードを取得し、将来のアクセスコードを計算します。 SecurIDを単独で認証に使用する場合は、それだけで十分です。それが2因子システムの一部である場合。パスワードまたはPINと一緒に使用すると、1要素のシステムに削減されます。

SecurIDのデザインが非常に長く、セキュリティが確保されているため、デザインがわかりにくくなっていることに驚いています。彼らが販売するすべてのデバイスのシードを保持しているかどうかは、大きなリスクのようです。

更新:ロッキードが攻撃されたと報告されている:コピーされたSecurIDキーを介して:ロッキードマーティンが攻撃を受けたことを確認-AllThingsD

Update:@ D.Wとしてメモ、Dan Kaminskyのブログ RSA SecurIDの侵害について は、ここで問題についてより完全に議論しています。ソースコードの仮定の盗難。

8
nealmcb

ニュースレポートによると、RSAセキュリティ違反により、攻撃者はLockheed-Martinの従業員がLockheed-Martinネットワークにアクセスするために使用するSecurIDトークンを複製(複製)できる可能性があります。 ( RSA Securityが顧客のSecurIDトークンを新しいトークン に置き換えることで応答しているという報告もあります。)

残念ながら、現時点では何が起こったのかを知ることは困難です。 RSA Securityは、ハッカーがアクセスしたRSA情報やシステムについて正確に言及していません。技術的な詳細は、以前のRSAセキュリティ違反の潜在的な影響の評価に大きな違いをもたらします。最悪のケースは、攻撃者がSecurIDトークンに含まれている暗号化キーマテリアルとSecurIDトークン所有者のユーザー名/アカウントに関する情報を盗んだ可能性があります。重要な資料はネットワークへのアクセスを制御する核となる秘密であるため、これは非常に深刻です。キーマテリアルにアクセスできる侵入者は、SecurIDトークンのクローンを作成し、多くの強力な攻撃を仕掛けることができます。それほど深刻ではない他の多くの可能性もあります。たとえば、もう1つの極端な例は、ハッカーがRSAの機密情報にアクセスできなかった可能性です。これら2つの極端な方法の間には多くの可能性があります。この時点で私達が持っているすべては推測です。

何が起こっているのかを理解するのを困難にしていることの一部は、RSA Securityがこれについて口を閉ざされていることです。そのため、リスクが何であるかを知ることが難しくなり、SecurIDの顧客がそれらのリスクから自社のシステムを保護することが難しくなります。情報不足で最悪の事態を想定するのは魅力的ですが、それが実際に正当化されるかどうかを知るのは困難です。 (個人的な意見:これらの事件は、RSA Securityがこれを賢く処理したかどうか、そして顧客の最善の利益のために行動したかどうかについて疑問を投げかけます。この事件の後、多くのセキュリティ関係者は彼らの信仰を置くことに消極的になるでしょう。将来的にはRSA Securityを信頼します。)

7
D.W.

some情報がだまされ始めているポイントに到達しました。これを ブログ投稿 からUri Rivnerから入手してください。 Wannerによってさらにまとめられた ISCブログ投稿 。 Wannerが詳述したように:

  • 攻撃の最初の部分は、目立たない標的を狙ったスピアフィッシングの試みでした。ターゲットに関する情報は、おそらくソーシャルネットワーキングサイトから採掘されたものです。必要なのは、添付されたExcelスプレッドシートを開くようにだまされた対象となる従業員の1人だけでした。
  • Excelスプレッドシートには、Adobe Flashの脆弱性を狙ったゼロデイエクスプロイトが含まれていました。
  • エクスプロイトはバックドアを追加しました。リモート管理プログラムをインストールしました。
  • 次に、マルウェアはユーザーアカウントの資格情報をキャプチャして、より価値の高いターゲットを危険にさらしました。

それは確かにかなり洗練されていませんが、標的型攻撃のように見えます。もちろん、彼らはAPT流行語を投げかけています。私が「A」に反対するかもしれませんが、「PT」は確かに適切なようです。

5
Scott Pack

新しい情報が明らかになりつつあります。 RSA Securityでの違反は、RSAの顧客にとって、以前に主張されたRSAよりも深刻な影響を与える可能性があるようです。どうやら ロッキードマーティンのシステムに対する攻撃の成功 があり、これはRSA Securityでの以前の違反によって可能になりました。攻撃者が武器関連の機密情報にアクセスした可能性があるという懸念があり、RSAセキュリティへの攻撃の動機は、RSAセキュリティの軍事請負業者やその他の顧客に対するこの種の攻撃を可能にすることであった可能性があるという提案があります。

これは、RSAセキュリティにとって深刻な黒眼のように見え始めています。以前は、RSA Securityは、顧客のセキュリティ障害の影響を軽視しようとしました。今、彼らの以前の主張は信頼されるべきではないようです。これは、RSAの信頼性に大きな影響を与えます。現時点では、セキュリティのためにSecurIDトークン(および場合によっては他のRSAセキュリティシステム)に依存することに人々はひどく警戒する必要があるようです。より多くの情報に基づいた分析を可能にするために、追加情報が表示されるかどうかを確認します。

5
D.W.

事件が起こったとき、スティーブンベロビン教授は盗まれた可能性のあるものとそれがどのように使用される可能性があるかについて彼の考えのいくつかを共有しました https://www.cs.columbia.edu/~smb/blog/2011- 03/2011-03-18.html 彼は昨日フォローアップを投稿しました: https://www.cs.columbia.edu/~smb/blog/2011-05/2011-05-28 .html

2011年7月7日編集:

詳細は本日会社から発表されました そして arstechnicaに関する記事 ある程度起こったことを説明しています。

RSAはすべてのトークン(..なぜ?)のシードを格納していたため、それらが盗まれたため、攻撃者がしなければならないことは、キーロガーのユーザーパスワードを介して侵入/推測/入手することだけでした。

同社によると、4,000万個のすべてのRSAトークンが交換される予定です...

5
john

これが、私がまだ見たことのない問題の最良のチュートリアル/紹介です。 SecurIDがどのように機能したか、セキュリティリスクが生じる理由、およびその可能性について、技術的な詳細が多数含まれています。

RSA SecurIDの侵害について(Dan Kaminskyのブログ)

5
D.W.

RSA SecurIDのセキュリティ違反に関するいくつかの詳細情報が入手可能になりました。特に、攻撃者がどのようにしてRSAシステムにマルウェアを取得したかがわかります。 A Kim Zetterによる新しいWired記事 は、ハッカーが標的型フィッシングメール(スピアフィッシング)を使用したことを示しています。また、攻撃がかなり洗練されていないことも明らかにします。Excelの添付ファイルが添付された単純な電子メールは、開かれたときにAdobe Flashの脆弱性を悪用して受信者のコンピューターを侵害しました。 F-Secureには 詳細が記載されたブログ投稿 があります。

3
D.W.

WeldPondがロッキードからこのリンクをツイートしました:

http://allthingsd.com/20110528/lockheed-martin-confirms-it-came-under-attack/?refcat=news

2
Rory Alsop