Slashdot - Marca smo pisali, da je bil oddelek RSA v podjetju EMC žrtev hekerskega napada. Kasneje smo izvedeli, da je bil za vdor odgovoren človeški faktor zaposlenih v RSA, niso pa želeli v podjetju povedati, kaj vse je bilo odtujenega. Zaradi tega je v IT-srenji završalo, saj se RSA-jev SecurID uporablja za preverjanje pristnosti z dvema faktorjema (recimo v e-bančništvu).
Za še več nemira je poskrbel uspešen napad v Lockheed Martin, ki je bil očitno prva resna posledica napada v RSA (napadli so tudi L-3 Communications in Northrop Grumman). Sedaj je RSA končno priznala, da so bili v napadu kompromitirani žetoni za SecurID. Zato ponujajo praktično vsem svojim uporabnikom brezplačno zamenjavo žetonov, finančnim inštitucijam pa še brezplačen monitoring transakcij.
Še vedno pa RSA ni želi povedati, kako točno so bili žetoni za SecurID kompromitirani. Predvideva se, da so napadalci pridobili tako seme kakor algoritem. Strokovnjaki so nad skrivnostnostjo RSA zelo razočarani, saj so z nejasnimi podatki in zavlačevanjem povzročili veliko škodo in nosijo posredno odgovornost tudi za nadaljnje vdore. Sedaj bodo morali zamenjati 40 milijonov žetonov SecurID.
Lahko pa rečem, da družba, ki prodaja varnostne sisteme in pri temu svojih lastnih strank ne obvesti ustrezno kakšna nevarnost jim preti, ne samo da mi ne vzbuja zaupanja, temveč je iz naslova najmanj neposredno odškodninsko odgovorna za zlorabe, ki so temu sledile. Obnašanje ni samo sramotno ampak naravnost kriminalno nemoralno. S svojim obnašanjem je podjetje praktično omogočilo naknadne vdore v druge sisteme.
Žal pa so možnosti, da bi kakšno podjetje izven ZDA ustrezno odškodnino izterjalo zelo majhne.
Stuxnet virus, ko so napadli Siemensove krmilnike in povzročili škodo Iranskemu jedrskemu programu oziroma centrifugam je bil nedvomno državno sponzoriran terorizem, s prstnimi odtisi Izraela in ZDA. Tokrat gre po moje za enako sofisticiran napad, le da močno dvomim, da bi ga sponzorirale ZDA. S tem, ko je bil posredno prek RSA napaden Lockheed Martin, Northrop Grumman in verjetno še kdo izmed top orožarske industrije ZDA je upam tudi njim postalo jasno, da ima vsak meč rezilo na obeh straneh. Je pa očitno to povezano tudi s tem, da bodo ZDA na cyber vojno odgovorile s pravim orožjem. So se očitno malo zamislili in spoznali, kako ranljivi dejansko so. čakam trenutek, ko bo nekomu uspelo hekati GPS sistem. To bo šele veselica.
Matthai> U, a pol imam kot uporabnik komercialnega sistema praktično iste garancije kot če bi uporabljal odprtokodne rešitve?
Ne. Bistveno nižje.
Niti ne. Dejansko imaš višje, saj imaš še dodatno garancijo, da te bo ponudnik komercialnega sistema slej kot prej obral in pustil na cedilu, če bo to za njega ceneje, kot ti pa pomagati.
Sam si pa (ravno tako garantirano) z njegovim produktom po točki "natega" več ne boš mogel pomagati.
Sem bil v banki vendar žal tam ni blo dobenega verodostojnega sogovornika. Baba me je gledala kot da sem alien, ko sem stopil iz banke sem se pogledal v ogledalo če mi kaj iz nosa visi al kaj takega... Ko me je vprašala kje sem dobil te informacije sem rekel iz spleta, hja tam marsikaj piše, ni nujno da je vse res, ko povem točno kje sem dobil, in da je podjetje samo priznalo mi še zmeraj ni verjela, sem gnjavil za drugega sogovornika (nekoga iz it) in tega ni za dobit ne v stavbi, ne na telefon, ne na mobitel...
Je pa zmagala izjava da me ne rabi bit nič strah, saj imajo dobro zaščito :D Mislim baba stara ko sploh ne ve o čem sem povpraševal mi trdi da imajo dobro zaščito.
edit te ključke uporablja NKBM, za preostale nevem.
Tudi na Sparkasse so me debelo gledali, ko sem rekel, da bi želel videti zgodovino svojih gesel, da vidim, če sem si ga narobe zapisal ali pa mi ga je dejansko kdo vkradel in geslo zamenjal.
Ženska na pulstu: ne rabite se bati, pri nas še ni bilo vdora.
Da ne omenim, da so mi geslo za resetiranje poslali po pošti in pošta nikoli ni prišla do mene. Ko sem ponorel, so me kar iz Lj Sparkasse poklicali in mi rekli, da so mi vse resetirali in naj si geslo čisto na novo nastavim. Na srečo sem očitno samo jaz geslo narobe zapisal ob spremembi in je ves denar ostal.
Evo, to sem jim poslal zjutraj po e-pošti na: info@nkbm.si in bankanet@nkbm.si
Pozdravljeni,
glede na zadnje odprto pismo podjetja RSA Security (http://www.rsa.com/node.aspx?id=3891), sem kot uporabnik Bank@Neta zelo zaskrbljen. Očitno je, da SecurID identifikacija v sedanji obliki ni več varna, kar je jasno tudi iz napadov na nekaj velikih tujih korporacij, ki uporabljajo to tehnologijo.
Kot vašega komitenta me zanima, kako in v kakšnih rokih boste poskrbeli za zamenjavo SecurID identifikacijskih žetonov, oz. kako boste poskrbeli za varno poslovanje vaših komitentov.
Hvala za odgovor in lep pozdrav.
Ko, in seveda če, odgovorijo bom sporočil.
Ničesar ne želim dokazati, želim pokazati
(Federico Fellini)
No pri NKBM za prijavo še potrebuje zraven svojo pin kodo, do katere pa hekerji nimajo dostopa. Varnost ostaja nekje na nivoju bankomat kartic.
Nisem še poskusil ampak koliko x lahko vneseš napačno kodo? Namreč ta pin je samo 4 mestna številka, glede na zadnje članke o gpu razbijanju gesel to naredi preden izpolni obrazec za nakazilo denarja :\
Sej pravim, nevem kaj imajo v ozadju, verjetno je enaka varianta kot pri prijavi v bank@net, 3x napačni podatki in je račun zaklenjen.
Sicer pa tudi ti malo pomisli, nima veze če ti on najde tisti pin v 48ih sekundah, ali 48ih urah. Pin je zmeraj enak, tako da timing kdaj ga heker dobi nima veze. Je pa tudi tak, če dobijo uporabniško ime in geslo, potem jim nebo problem dobit tudi pin-a.
Probanka je sigurno prava meta za hekerje tipa "Lockheed" tam bojo pa res dosti lahko vkradli bogi raji sicer pa je cert miljonx lažje odnest večini tupkotov kot pa ta SecureId našpilat, pač.
Neki gledam te rsa javne pa zasebne ključe pa zanima kakšne so "tipične velikosti" n-ja pa e-ja? Lahko date tudi konkretne vrednosti, če niso prevelike.
A je še kej znan podatek poleg teh dveh? Številka sporočila oz podpis al kaj je to?
jaz imam tudi Probanko, sem danes poslal mail "mojemu" bancniku, odgovoril je:
Spoštovani! O napadu na podjetje RSA smo bili obveščeni, pravtako pa smo o potencialni nevarnosti takoj preko Prospletnih novic obvestili tudi vas, uporabnike Prospleta. Glede menjave SecurID kartic se pogovarjamo z našim distributerjem (slovenskim zastopnikom), o vseh novostih vas bomo redno obveščali.
Glede uporabe SecurID kartice ali digitalnega potrdila vam lahko jamčimo, da je uporaba enega ali drugega načina avtentikacije dovolj varna. V vsakem primeru pa je odvisna od uporabnika, koliko tudi sam zna poskrbeti za varnost. Več o tem si lahko preberete na naši spletni strani v razdelku E-BANKA -> Priporočila za varno uporabo interneta!
Kaj predlagate forumasi? Cakat, da bojo zamenjal? Narediti prehod na certifikat, ki je moznost po novem? Uporabljat isto naprej?
ha, zanimiv "zvit" odgovor, ne vemo, kaj bo, bodo, ne bodo???
Ta certifikat ni po novem, to imajo banke in drugi npr euprava že celo večnost. Sigen pa to. Meni se ne zdi to neka pametna alternativa, kolker vemo so pofishali NLBju pa še komu na kile teh certifikatov z lahkoto, pa 100tisočev EURov je šlo k hekerjem z računov. Tak da to zdaj ta SecID je samo panika zaenkrat zgleda, konkretnega nič. Mogoče hočejo samo zaslužit pa tehnologijo menjat, mi pa plačamo. Nja kaj ponudijo, rešitve. Samo onim iz NLBja so baje vse vkradeno vrnili na račune, po moje bi zdaj blo enako. No lahko upamo da ja.
@Si3Mendo vem da certifikat ni novost, ampak govorim samo za Probanko. Vcasih so imeli samo securID, zdaj pa je na voljo tudi cert (lahko izbiras ocitno).
Spodaj pripenjam odgovor Nove KBM na moje včerajšnje e-sporočilo:
Spoštovani,
hvala za vaše vprašanje, s katerim izkazujete visoko stopnjo skrbnosti in zavedanja glede lastne varnosti poslovanja na spletu.
V zvezi z omenjenim dogodkom, ki ga omenjate, smo svojim komintentom že 21. marca 2011 objavili naslednje varnostno priporočilo:
Spoštovani uporabniki spletne banke,
podjetje RSA, proizvajalec varnostnih elementov SecurID, ki jih v Novi KBM uporabljamo za varno poslovanje v spletni banki, je nedavno zabeležilo in objavilo varnostni dogodek. Zaradi tega obstaja možnost, da bodo neznane - tretje osebe poskušale od uporabnikov teh elementov pridobiti določene informacije z namenom zlorabe varnostnih mehanizmov spletne banke.
Ob upoštevanju naslednjih priporočil varnost vašega poslovanja v nobenem primeru ni ogrožena:
1. Uporabniki kartic in ključkov SecurID nikoli nikomur ne zaupajte svojega uporabniškega imena, gesla PIN in podatkov, povezanih s kartico SecurID (npr. serijsko število).
2. Če kdorkoli poskuša pridobiti od vas podatke, povezane s spletno banko, vam svetujemo, da teh v nobenem primeru ne posredujete in o poskusu takoj obvestite skrbnike spletne banke.
3. Banka od uporabnikov nikoli ne zahteva tovrstnih podatkov in jih tudi ne sporoča po elektronski pošti, spletu, Facebooku in podobnih medijih.
Z upoštevanjem teh priporočil boste poskrbeli, da bo vaše poslovanje preko spletne banke še naprej varno.
Verjamemo, da ste priporočilo razumeli in ga v celoti upoštevate, zato ste lahko prepričani, da varnost vašega poslovanja z banko ni ogrožena.
Tudi podjetje RSA je nedavno objavilo odprto pismo vsem svojim uporabnikom, v katerem med drugim navaja različne vrste možnih ukrepov glede na individualne ocene stopnje tveganja in prizadetosti posameznih strank. Obenem RSA izpostavlja, da so grožnje in incidenti, s katerimi se stalno srečujemo, neločljiv del internetne sedanjosti, in da je uporaba varnostnih elementov SecurID še naprej eno najboljših orodij za varovanje kritičnih informacij.
V banki sproti spremljamo vsa dogajanja v zvezi z varnostnim dogodkom in smo tudi v stalnem stiku s proizvajalcem. Izvedli smo že vse dosedaj priporočene dodatne ukrepe, tako bomo ravnali tudi vnaprej.
Lep pozdrav Igor Janežič ------------------------------------------------- Referent sodobnih prodajnih poti Sektor SSPP Nova KBM d.d. Vita Kraigherja 4 2505 Maribor
Hja, bomo videli ... zaenkrat o zamenjavi žetonov ne duha ne sluha ...
Ničesar ne želim dokazati, želim pokazati
(Federico Fellini)
Ob upoštevanju naslednjih priporočil varnost vašega poslovanja v nobenem primeru ni ogrožena:
1. Uporabniki kartic in ključkov SecurID nikoli nikomur ne zaupajte svojega uporabniškega imena, gesla PIN in podatkov, povezanih s kartico SecurID (npr. serijsko število).
Sej ga nihče ne rabi zahtevat, hekerji bodo te podatke že sami dobili =\
Pa še to, je kdo našel to sporočilo na spletnih straneh bank@neta? Jaz nisem.
Ja, razumem "vas", ampak kdo ste vi? Kakšna renomirana velika firma, njihov uradni zastopnik za naše tržišče, Slovenska vojska? To me zanima. Ker saj pravim, večinoma je pri nas (v Sloveniji) čisto zatišje kar se tiče tele kraje ključev.
V resnici mi nismo dobili še nobenega obvestila. Saj ne vem ali naj pokličem in zatežim, ali naj pustim in počakam čez koliko časa se bodo spomnili (ker me zanima obseg nesposobnosti).
V resnici mi nismo dobili še nobenega obvestila. Saj ne vem ali naj pokličem in zatežim, ali naj pustim in počakam čez koliko časa se bodo spomnili (ker me zanima obseg nesposobnosti).
Ben, jaz sem kar še malo zatežil Novi KBM in sicer ali bodo omogočili menjavo žetonov in kakšna bo njihova politika ob morebitnem vdoru v račune komitentov. Zaenkrat ni odgovora.
Moti me tudi medijska tišina o tej temi. V Sloveniji Seveda. Sem kar na mmc portal poslal en mejl z osnovnimi podatki o zadevi in me zanim ali bodo kaj pokrili. Res me čudi ta molk, saj je pri nas veliko ljudi, ki uporablja žetone SecurID. Ali pa je ravno to razlog za tiščanje glave v pesek?
Ničesar ne želim dokazati, želim pokazati
(Federico Fellini)
