it-swarm-korea.com

EMC RSA SecurID 손상에 대한 추가 정보가 있습니까?

보안 권고 보도 자료 여기 정보가 많지 않습니다.이 사실을 알려주는 이메일은 그다지 도움이되지 않았고, 안타깝게도 목요일 저녁 두 번의 전화 회의에 대해 들었습니다 (얼마나 기이합니다!) 그들이 이미 일어난 후에, 그래서 나는 다음 전화를 위해 내일 아침까지 기다려야한다.

누군가가 처음 두 번의 통화 중 하나에 대한 녹음이나 기록 및/또는 추가 유용한 정보를 가지고 있는지 궁금합니다.

내 추측은 누군가 토큰에 대한 시드 레코드의 일부를 다운로드 한 것입니다. IIRC, 고객 (그리고 분명히 악당)은 강력한 두 번째 요소없이 RSA 사이트에서 시드 레코드를 다운로드 할 수 있습니다. 아이러니 경고!

14
Craig H

FUD가 많지만 일부 스 니펫이 나옵니다. http://www.metafilter.com/101636/RSA-has-been-hacked 에서 인용

현재 전자 상거래에서 널리 사용되는 암호화 시스템의 발명가 인 컴퓨터 보안 전문가 인 Whitfield Diffie는 한 가지 가능성은 암호화 알고리즘의 일부로 사용되는 큰 비밀 번호 인 "마스터 키"가 도난 당했을 수 있다는 것입니다.

6
Rory Alsop

Schneier on Security 블로그 : RSA Security, Inc Hacked 에서 몇 가지 좋은 점이 있습니다.

걱정은 회사의 SecurID 이중 인증 제품에 대한 소스 코드가 도난 당하여 해커가 리버스 엔지니어링하거나 시스템을 손상시킬 수 있다는 것입니다. 1) SecurID의 암호화가 어떻게 작동하는지, 2) 회사 서버에서 정확히 무엇을 훔쳤는 지 모른 채 이것이 가능한지 여부를 평가하기는 어렵습니다. 우리는 어느 쪽도 알지 못하며, 기업 스핀은 안심할 수있는만큼 세부 사항이 짧습니다.

...

보안은 신뢰에 관한 것이며 신뢰가 상실되면 보안이 없습니다. SecurID의 사용자는 해당 시스템을 보호하는 데 필요한 비밀을 보호하기 위해 RSA Data Security, Inc.를 신뢰했습니다. 그렇지 않은 한, 회사는 고객의 신뢰를 잃었습니다.

일부 오해를 수정하기 위해 업데이트되었습니다 .... SecurID 액세스 코드 계산은 이미 리버스 엔지니어링되었습니다. RSA SecurID 참조) 손상된 데이터Cain 및 Able. 알고리즘에는 토큰과 함께 RSA에서 제공하는 토큰 별 AES 키 ( "시드 레코드")가 필요합니다.

Schneier 블로그의 의견은 가능한 의미에 대해 추측합니다. 각 일련 번호에 대한 일종의 시드 데이터베이스가 도난 당하여 일련 번호 (토큰 뒷면에 인쇄 됨)를 알고 토큰의 시계 설정 (예 : 몇 개의 액세스 코드 확인)을 알아낼 수있는 공격자가 도난당한 것 같습니다. ) 시드를 얻고 향후 액세스 코드를 계산합니다. SecurID가 인증을 위해 단독으로 사용되는 경우 필요한 전부입니다. 2- 팩터 시스템의 일부인 경우 (예 : 암호 또는 PIN과 함께 사용하면 단일 요소 시스템으로 축소됩니다.

나는 SecurID가 디자인의 모호함을 통해 너무 많은 보안을 유지하면서 너무 오래 사라 졌다는 사실에 놀랐습니다! 나는 그들이 판매하는 모든 장치의 씨앗을 보유하고 있는지 궁금합니다-큰 위험처럼 보입니다.

업데이트 : Lockheed가 복제 된 SecurID 키를 통해 공격당했습니다. Lockheed Martin이 공격을 받고 있음을 확인 – AllThingsD

업데이트 : @ D.W. 메모, Dan Kaminsky의 블로그 RSA SecurID Compromise에 대해 여기에서 문제에 대한 더 완전한 논의가 있습니다. 이것은 일반적으로 여기에서 언급 한 블로그 댓글과 일치하지만 Schneier의 새로운 기능에 대한 두려움에 큰 비중을 두지 않습니다. 가설 된 소스 코드 도용에 기반한 공격.

8
nealmcb

뉴스 보도에 따르면 RSA 보안 위반으로 인해 공격자는 Lockheed-Martin 직원이 Lockheed-Martin 네트워크에 액세스하기 위해 사용하는 SecurID 토큰을 복제 (복제) 할 수있었습니다. (또한 RSA Security가 고객의 SecurID 토큰을 새 토큰으로 교체하여 대응하고 있음 라는 보고서도 있습니다.)

불행히도이 시점에서 무슨 일이 일어 났는지 알기가 어렵습니다. RSA Security는 해커가 액세스 한 RSA 정보 또는 시스템에 대해 정확히 말하고 있습니다. 기술적 세부 사항은 이전 RSA 보안 위반의 잠재적 영향을 평가하는 데 큰 차이를 만듭니다. 최악의 경우는 공격자가 SecurID 토큰에있는 암호화 키 자료와 SecurID 토큰 소유자의 사용자 이름/계정에 대한 정보를 훔 쳤을 수 있다는 것입니다. 핵심 자료는 네트워크에 대한 액세스를 제어하는 ​​핵심 비밀이기 때문에 이것은 매우 심각합니다. 키 자료에 액세스 할 수있는 침입자는 SecurID 토큰을 복제하고 많은 강력한 공격을 수행 할 수 있습니다. 덜 심각한 다른 가능성도 많이 있습니다. 예를 들어, 다른 극단에서는 해커가 RSA에서 민감한 정보에 대한 액세스 권한을 얻지 못했을 가능성이 있습니다. 이 두 극단 사이에는 많은 가능성이 있습니다. 이 시점에서 우리가 가진 것은 추측뿐입니다.

무슨 일이 일어나고 있는지 알기 어렵게 만드는 부분 중 하나는 RSA Security가 이에 대해 입을 다물고 있다는 것입니다. 이로 인해 위험이 무엇인지 알기가 어려워 SecurID 고객이 이러한 위험으로부터 자신의 시스템을 보호하기가 더 어려워집니다. 정보 부족으로 최악의 상황을 가정하고 싶지만 그것이 실제로 정당한지 여부를 알기는 어렵습니다. (개인 의견 : 이러한 사건은 RSA Security가이 문제를 현명하게 처리했는지, 그리고 고객의 최선의 이익을 위해 행동했는지에 대한 의문을 불러 일으 킵니다.이 사건 이후 많은 보안 담당자가 믿음을 갖기를 꺼릴 것으로 예상됩니다. 그리고 미래의 RSA Security에 대한 신뢰.)

7
D.W.

some 정보가 흘러 나오기 시작하는 지점에 도달했습니다. Uri Rivner에서 블로그 게시물 을 가져옵니다. Wanner가이 ISC 블로그 게시물 에 추가로 요약했습니다. Wanner의 설명 :

  • 공격의 첫 번째 부분은 중요하지 않은 표적을 겨냥한 스피어 피싱 시도였습니다. 표적에 대한 정보는 대부분 소셜 네트워킹 사이트에서 채굴되었습니다. 첨부 된 Excel 스프레드 시트를 열도록 속인 대상 직원 중 한 명만 취했습니다.
  • Excel 스프레드 시트에는 Adobe Flash 취약점을 표적으로 삼는 제로 데이 익스플로잇이 포함되어 있습니다.
  • 이 익스플로잇은 백도어를 추가했습니다. 원격 관리 프로그램을 설치했습니다.
  • 그런 다음 악성 코드는 더 높은 가치의 대상을 손상시키기 위해 사용자 계정의 자격 증명을 캡처했습니다.

분명히 합리적으로 정교하지 않지만 표적 공격처럼 보입니다. 물론 그들은 APT 유행어. 내가 'A'에 동의하지 않을 수 있지만 'PT'는 확실히 적절 해 보인다.

5
Scott Pack

새로운 정보가 이제 밝혀지고 있습니다. RSA Security의 침해는 이전에 주장한 RSA보다 RSA 고객에게 더 심각한 영향을 미칠 수 있습니다. 분명히 Lockheed Martin의 시스템에 대한 성공적인 공격 이 있었는데, 이는 RSA Security의 이전 침해로 가능해졌습니다. 공격자가 민감한 무기 관련 정보에 액세스 할 수 있다는 두려움이 있으며 RSA Security에 대한 공격의 동기가 군사 계약 업체 및 RSA Security의 다른 고객에 대한 이러한 종류의 공격을 가능하게했을 수 있다는 제안이 있습니다.

이것은 RSA Security에 대한 심각한 검은 눈처럼 보이기 시작했습니다. 이전에 RSA Security는 고객이 보안 실패에 미치는 영향을 경시하려고했습니다. 이제는 이전 주장을 신뢰할 수없는 것처럼 보입니다. 이것은 RSA의 신뢰성에 큰 타격을줍니다. 지금은 사람들이 보안을 위해 SecurID 토큰 (및 잠재적으로 다른 RSA 보안 시스템)에 의존하는 것을 몹시 조심해야 할 것 같습니다. 더 많은 정보에 입각 한 분석을 가능하게하는 추가 정보 표면이 있는지 살펴볼 것입니다.

5
D.W.

사건이 발생했을 때 Steven Bellovin 교수는 도난 당할 수있는 것과 그것이 어떻게 사용될 수 있는지에 대한 그의 생각을 공유했습니다 . https://www.cs.columbia.edu/~smb/blog/2011- 03/2011-03-18.html 그는 어제 후속 글을 올렸습니다 : https://www.cs.columbia.edu/~smb/blog/2011-05/2011-05-28 .html


2011 년 7 월 7 일 수정 :

오늘 회사에서 더 자세한 내용이 나왔습니다 그리고 어느 정도 일어난 일을 설명하는 article over at arstechnica 가 있습니다.

RSA가 모든 토큰 (.. 왜?)의 시드를 저장하고 도난당한 것처럼 보이므로 공격자가해야 할 일은 키로거 사용자 암호를 통해 스니핑/추측/얻기 만하면됩니다.

회사는 모든 4 천만 개의 rsa 토큰이 교체 될 것이라고 말했습니다 ...

5
john

여기에 내가 본 것 중에 무엇이 잘못되었는지에 대한 최고의 튜토리얼/소개가 있습니다. 여기에는 SecurID의 작동 방식, 보안 위험이 발생하는 이유 및 가능한 영향에 대한 많은 기술적 세부 정보가 있습니다.

RSA SecurID Compromise (Dan Kaminsky의 블로그)

5
D.W.

RSA SecurID 보안 위반에 대한 몇 가지 추가 정보, 특히 공격자가 RSA 시스템에 맬웨어를 어떻게 가져 왔는지에 대한 정보가 추가되었습니다. Kim Zetter의 새로운 Wired 기사 해커가 표적 피싱 이메일 (스피어 피싱)을 사용했다고 말합니다. 또한 공격이 매우 정교하지 않은 것으로 나타났습니다. Excel 첨부 파일이있는 단순한 이메일을 열었을 때 수신자의 컴퓨터를 손상시키기 위해 Adobe Flash의 취약점을 악용 한 것입니다. F-Secure에는 자세한 내용이 포함 된 블로그 게시물 이 있습니다.

3
D.W.
2
Rory Alsop