Masz konto z tokenem? Możesz stracić wszystkie pieniądze
RSA, jeden z największych światowych producentów urządzeń i aplikacji kryptograficznych, stał się obiektem ataku, w wyniku którego wykradzione zostały firmowe dane. Według komunikatu prezesa CEO Arta Coviello dla klientów RSA z firmy wyciekły także informacje o popularnych produktach SecurID, co może zagrażać ich bezpieczeństwu.
RSA, jeden z największych światowych producentów urządzeń i aplikacji kryptograficznych, stał się obiektem ataku, w wyniku którego wykradzione zostały firmowe dane. Według komunikatu prezesa CEO Arta Coviello dla klientów RSA z firmy wyciekły także informacje o popularnych produktach SecurID, co może zagrażać ich bezpieczeństwu.
SecurID jest jednym z najstarszych systemów dwustopniowej identyfikacji służących do bezpiecznego logowania się do komputerów. Jest on najszerzej znany pod postacią tokena, który co 6. sekund generuje jednorazowe hasło (One-Time Password, OTP). Na całym świecie około 40 milionów pracowników różnych firm i klientów instytucji finansowych używa takich tokenów. Do tej liczby należy jeszcze doliczyć 250 milionów wersji software'owych działających np. w urządzeniach przenośnych.
Zagrożenie
Według Coviello wykradzione dane mogą ograniczyć "efektywność implementacji dwustopniowego uwierzytelniania", co może być wykorzystane przez potencjalnych napastników do późniejszych ataków. Coviello nie określa dokładnie, jakie dane wyciekły z firmy. Pojawiają się domysły, że mógł to być kod źródłowy SecurID, albo nawet zalążki losowych danych. Korzystając z kodu źródłowego można odtworzyć algorytm do generowania haseł OTP albo nawet znaleźć luki w zabezpieczeniach oprogramowania RSA. Z zalążków można z kolei wyprowadzić wszystkie kody OTP, jakie kiedykolwiek zostały wygenerowane przez dany token.
Znając algorytm i zalążki napastnicy byliby prawdopodobnie w stanie wyliczyć wszystkie hasła OTP. Jednak, aby zalogować się do systemów chronionych przez systemy SecurID oprócz OTP niezbędne jest jeszcze jedno hasło. RSA obecnie przekazuje klientom informacje na temat tego, jak mogą oni podnieść bezpieczeństwo systemów SecurID. W oficjalnym komunikacie skierowanym do amerykańskiego nadzoru giełdowego firma należąca do korporacji EMC przedstawia wiele różnych zaleceń. Nie pojawia się tam jednak propozycja ewentualnej wymiany tokenów.
Wygląda na to, że włamanie do serwera RSA było szczegółowo zaplanowaną akcją. Z dotychczasowych obserwacji wynika, że był to atak typu Advanced Persistent Threat (APT). To pojęcie zwykle odnosi się do szpiegostwa przemysłowego prowadzonego przez inne kraje, byłby to więc przypadek podobny do ubiegłorocznego incydentu w Google'u.
wydanie internetowe www.heise-online.pl
