RSA lakonicznie poinformowało klientów o włamaniu do sieci
-
- Paweł Krawczyk,
- 12.04.2011
Kryptoanaliza tego algorytmu okazała się częściowo skuteczna, co w połączeniu z nieadekwatnym poziomem bezpieczeństwa oferowanym przez 64-bitowy skrót (zaprojektowany w latach 80.) skłoniło firmę do zmiany algorytmu na nowy. Od 2003 roku do sprzedaży zaczęto wprowadzać tokeny używające 128-bitowego algorytmu opartego na standardowym szyfrze AES. Ze względu na założenie projektowe, że bezpieczeństwo systemu nie zależy od tajności algorytmu (zasada Kerckhoffsa), wątpliwe, by tutaj leżał problem.
System SecurID jest jednak w rzeczywistości nieco bardziej skomplikowany. Opisany powyżej schemat nie bierze pod uwagę wielu elementów - np. uwierzytelnienia offline, kodów służących do logowania bez tokenu (recovery codes) czy mechanizmu adaptacji serwera ACE do stopniowej utraty precyzji zegarów wbudowanych w tokeny. Nie są to mechanizmy wbudowane w tokeny, stosunkowo proste do przeanalizowania z punktu widzenia architektury bezpieczeństwa. Jest prawdopodobne, że RSA utraciło dane, które w jakiś sposób umożliwiają nadużycie tych dodatkowych, wbudowanych w serwera ACE. Ale potwierdzić to może jedynie RSA.
Zobacz również:
- Snowflake Arctic - nowy model językowy LLM klasy korporacyjnej
- Wdrożono system, który ochroni nas przed niechcianymi wiadomościami SMS
- Ta ustawa przybliża moment, w którym TikTok zostanie zablokowany w USA
Ściśle wybierane ofiary ataku
Istotny wniosek, jaki płynie jednak z tego wydarzenia - i być może najbardziej niepokojący - jest taki, że przestępczość komputerowa wkracza powoli w nowy etap. Grupy przestępcze nie atakują już łatwych celów, z których można ukraść dane osobowe lub finansowe głównie z powodu zaniedbań ofiary (ataki oportunistyczne). Operacja Aurora, Stuxnet, niedawny atak na Comodo czy na RSA, firmę będącą przecież na rynku bezpieczeństwa legendą, wskazują, że grupy przestępcze - i służby specjalne - czują się już w Internecie dość pewnie, aby prowadzić zaawansowane ataki wymierzone przeciwko konkretnym ofiarom.
Przestępcy, którzy włamali się do sieci RSA, użyli do tego celu błędy w zabezpieczeniach aplikacji Adobe Flash Player. Dzięki niej wprowadzili złośliwy kod do komputera jednego z pracowników RSA, a później wykorzystali ten program do wykradania poufnych danych.
Z analiz przeprowadzonych przez pracowników RSA wynika, że włamywacze starannie zaplanowali całą operację. Wyselekcjonowali dwie grupy pracowników firmy i wysłali do nich spreparowane maile, wyglądające jak korespondencja z działu kadr. Do wiadomości był załączony dokument o nazwie: 2011 Recruitment plan.xls. Zawierał on osadzony plik Flash, wykorzystujący nieznaną wcześniej lukę (zero-day) w zabezpieczeniach Adobe Flash Playera. Po otwarciu pliku uaktywniał się złośliwy kod, który instalował w systemie program o nazwie: Poison Ivy - narzędzie do zdalnego zarządzania systemem RAT (Remote Administration Tool). Co najmniej jeden pracownik RSA dał się oszukać i otworzył ten dokument. Poison Ivy posłużył włamywaczom do przejęcia loginów i haseł pracowników firmy - dzięki nim mogli buszować po firmowych zasobach i wykradać interesujące ich informacje. Dane te przesyłano następnie na zdalny serwer.
Przedstawiciele RSA wciąż nie poinformowali, jakie dokładnie informacje zostały skradzione. Firma przyznała jedynie, że incydent ten mógł "ograniczyć skuteczność" systemu zabezpieczającego SecurID. (ants)
