» »

Marčevski napad na RSA kompromitiral žetone SecurID

Marčevski napad na RSA kompromitiral žetone SecurID

Slashdot - Marca smo pisali, da je bil oddelek RSA v podjetju EMC žrtev hekerskega napada. Kasneje smo izvedeli, da je bil za vdor odgovoren človeški faktor zaposlenih v RSA, niso pa želeli v podjetju povedati, kaj vse je bilo odtujenega. Zaradi tega je v IT-srenji završalo, saj se RSA-jev SecurID uporablja za preverjanje pristnosti z dvema faktorjema (recimo v e-bančništvu).

Za še več nemira je poskrbel uspešen napad v Lockheed Martin, ki je bil očitno prva resna posledica napada v RSA (napadli so tudi L-3 Communications in Northrop Grumman). Sedaj je RSA končno priznala, da so bili v napadu kompromitirani žetoni za SecurID. Zato ponujajo praktično vsem svojim uporabnikom brezplačno zamenjavo žetonov, finančnim inštitucijam pa še brezplačen monitoring transakcij.

Še vedno pa RSA ni želi povedati, kako točno so bili žetoni za SecurID kompromitirani. Predvideva se, da so napadalci pridobili tako seme kakor algoritem. Strokovnjaki so nad skrivnostnostjo RSA zelo razočarani, saj so z nejasnimi podatki in zavlačevanjem povzročili veliko škodo in nosijo posredno odgovornost tudi za nadaljnje vdore. Sedaj bodo morali zamenjati 40 milijonov žetonov SecurID.

43 komentarjev

dronyx ::

Firma, ki prodaja security sisteme in ni sposobna poskrbeti za lastno varnost, mi ne vzbuja preveč zaupanja.

BlueRunner ::

100% zaščite ni in statistika naredi svoje.

Lahko pa rečem, da družba, ki prodaja varnostne sisteme in pri temu svojih lastnih strank ne obvesti ustrezno kakšna nevarnost jim preti, ne samo da mi ne vzbuja zaupanja, temveč je iz naslova najmanj neposredno odškodninsko odgovorna za zlorabe, ki so temu sledile. Obnašanje ni samo sramotno ampak naravnost kriminalno nemoralno. S svojim obnašanjem je podjetje praktično omogočilo naknadne vdore v druge sisteme.

Žal pa so možnosti, da bi kakšno podjetje izven ZDA ustrezno odškodnino izterjalo zelo majhne.

Zgodovina sprememb…

dronyx ::

Stuxnet virus, ko so napadli Siemensove krmilnike in povzročili škodo Iranskemu jedrskemu programu oziroma centrifugam je bil nedvomno državno sponzoriran terorizem, s prstnimi odtisi Izraela in ZDA. Tokrat gre po moje za enako sofisticiran napad, le da močno dvomim, da bi ga sponzorirale ZDA. S tem, ko je bil posredno prek RSA napaden Lockheed Martin, Northrop Grumman in verjetno še kdo izmed top orožarske industrije ZDA je upam tudi njim postalo jasno, da ima vsak meč rezilo na obeh straneh. Je pa očitno to povezano tudi s tem, da bodo ZDA na cyber vojno odgovorile s pravim orožjem. So se očitno malo zamislili in spoznali, kako ranljivi dejansko so. čakam trenutek, ko bo nekomu uspelo hekati GPS sistem. To bo šele veselica.

Zgodovina sprememb…

  • spremenil: dronyx ()

emsi ::

Torej lahko uporabniki bank@net zahtevamo zamenjavo teh žetonov ? (žeton je mišljeno tale ključek, ki generira kodo?)
=

knupy ::

Sramota!
Več o tem tudi na: http://www.net-security.org/secworld.ph...

Še vedno prisegam na SafeNet!
Linux ... and you'll be free.

MisterR ::

emsi je izjavil:

Torej lahko uporabniki bank@net zahtevamo zamenjavo teh žetonov ? (žeton je mišljeno tale ključek, ki generira kodo?)


To bi morala zahtevat NKBM in ne mi. Jutri se bom oglasil v poslovalnici in se pozanimal kako in kaj.

neo987 ::

pol pa le javi kaj ti bojo rekli!

poweroff ::

U, a pol imam kot uporabnik komercialnega sistema praktično iste garancije kot če bi uporabljal odprtokodne rešitve?
sudo poweroff

jype ::

Matthai> U, a pol imam kot uporabnik komercialnega sistema praktično iste garancije kot če bi uporabljal odprtokodne rešitve?

Ne. Bistveno nižje.

BlueRunner ::

jype je izjavil:

Matthai> U, a pol imam kot uporabnik komercialnega sistema praktično iste garancije kot če bi uporabljal odprtokodne rešitve?

Ne. Bistveno nižje.

Niti ne. Dejansko imaš višje, saj imaš še dodatno garancijo, da te bo ponudnik komercialnega sistema slej kot prej obral in pustil na cedilu, če bo to za njega ceneje, kot ti pa pomagati.

Sam si pa (ravno tako garantirano) z njegovim produktom po točki "natega" več ne boš mogel pomagati.

Torej kar dve dodatni garanciji!

poweroff ::

Se mi je zdelo, ja. :)
sudo poweroff

Putr ::

Torej se te ključi uporabljajo tudi v naših bankah? In če, katerih?

MisterR ::

Sem bil v banki vendar žal tam ni blo dobenega verodostojnega sogovornika. Baba me je gledala kot da sem alien, ko sem stopil iz banke sem se pogledal v ogledalo če mi kaj iz nosa visi al kaj takega...
Ko me je vprašala kje sem dobil te informacije sem rekel iz spleta, hja tam marsikaj piše, ni nujno da je vse res, ko povem točno kje sem dobil, in da je podjetje samo priznalo mi še zmeraj ni verjela, sem gnjavil za drugega sogovornika (nekoga iz it) in tega ni za dobit ne v stavbi, ne na telefon, ne na mobitel...

Je pa zmagala izjava da me ne rabi bit nič strah, saj imajo dobro zaščito :D Mislim baba stara ko sploh ne ve o čem sem povpraševal mi trdi da imajo dobro zaščito.

edit
te ključke uporablja NKBM, za preostale nevem.

Zgodovina sprememb…

  • spremenil: MisterR ()

CrashOver ::

Putr je izjavil:

Torej se te ključi uporabljajo tudi v naših bankah? In če, katerih?

NKBM uporabla za spletno bančništvo... drugače pa kr nekaj ministerstev in javnih služb uporablja ta način za dostop do strežnikov od zunaj....

Sc0ut ::

Tudi na Sparkasse so me debelo gledali, ko sem rekel, da bi želel videti zgodovino svojih gesel, da vidim, če sem si ga narobe zapisal ali pa mi ga je dejansko kdo vkradel in geslo zamenjal.

Ženska na pulstu: ne rabite se bati, pri nas še ni bilo vdora.

Da ne omenim, da so mi geslo za resetiranje poslali po pošti in pošta nikoli ni prišla do mene. Ko sem ponorel, so me kar iz Lj Sparkasse poklicali in mi rekli, da so mi vse resetirali in naj si geslo čisto na novo nastavim. Na srečo sem očitno samo jaz geslo narobe zapisal ob spremembi in je ves denar ostal.
1231 v3, Z97 A, 16GB ram 1600mhz, 3070 RTX, HX850

root ::

No pri NKBM za prijavo še potrebuje zraven svojo pin kodo, do katere pa hekerji nimajo dostopa. Varnost ostaja nekje na nivoju bankomat kartic.

MyotisSI ::

Evo, to sem jim poslal zjutraj po e-pošti na: info@nkbm.si in bankanet@nkbm.si


Pozdravljeni,

glede na zadnje odprto pismo podjetja RSA Security (http://www.rsa.com/node.aspx?id=3891), sem kot uporabnik Bank@Neta zelo zaskrbljen.
Očitno je, da SecurID identifikacija v sedanji obliki ni več varna, kar je jasno tudi iz napadov na nekaj velikih tujih korporacij, ki uporabljajo to tehnologijo.

Kot vašega komitenta me zanima, kako in v kakšnih rokih boste poskrbeli za zamenjavo SecurID identifikacijskih žetonov, oz. kako boste poskrbeli za varno poslovanje vaših komitentov.

Hvala za odgovor in lep pozdrav.


Ko, in seveda če, odgovorijo bom sporočil.
Ničesar ne želim dokazati, želim pokazati
(Federico Fellini)

Zgodovina sprememb…

  • spremenil: MyotisSI ()

MisterR ::

root je izjavil:

No pri NKBM za prijavo še potrebuje zraven svojo pin kodo, do katere pa hekerji nimajo dostopa. Varnost ostaja nekje na nivoju bankomat kartic.


Nisem še poskusil ampak koliko x lahko vneseš napačno kodo? Namreč ta pin je samo 4 mestna številka, glede na zadnje članke o gpu razbijanju gesel to naredi preden izpolni obrazec za nakazilo denarja :\

BlueRunner ::

sleep(15), pa ti niti najhitrejši GPU na svetu ne bo tega naredil hitreje, kot pa v malo manj kot dveh dnevih. Malo pomisli kaj pišeš.

MisterR ::

Sej pravim, nevem kaj imajo v ozadju, verjetno je enaka varianta kot pri prijavi v bank@net, 3x napačni podatki in je račun zaklenjen.

Sicer pa tudi ti malo pomisli, nima veze če ti on najde tisti pin v 48ih sekundah, ali 48ih urah. Pin je zmeraj enak, tako da timing kdaj ga heker dobi nima veze. Je pa tudi tak, če dobijo uporabniško ime in geslo, potem jim nebo problem dobit tudi pin-a.

Keyser Soze ::

CrashOver je izjavil:

drugače pa kr nekaj ministerstev in javnih služb uporablja ta način za dostop do strežnikov od zunaj....

Tole mene najbolj čudi, da nihče niti bleknil ni nič o tem. Še vedno se tele žetončke uporablja kot da ni bilo nič...
OM, F, G!

poweroff ::

Pri nas nihče ne ve, kaj se dogaja na področju varnosti. Žal.

SecureID bodo menjali šele čez kakšni dve leti...
sudo poweroff

treker ::

Secure ID uporabja tudi Probanka... njim sem poslal isto vprašanje kot "MyotisSI".. ko/če dobim odgovor postam tukaj.

sprasujem ::

Si3Mendo ::

Probanka je sigurno prava meta za hekerje tipa "Lockheed" tam bojo pa res dosti lahko vkradli bogi raji
sicer pa je cert miljonx lažje odnest večini tupkotov kot pa ta SecureId našpilat, pač.

Zgodovina sprememb…

  • spremenilo: Si3Mendo ()

sprasujem ::

Neki gledam te rsa javne pa zasebne ključe pa zanima kakšne so "tipične velikosti" n-ja pa e-ja? Lahko date tudi konkretne vrednosti, če niso prevelike.

A je še kej znan podatek poleg teh dveh? Številka sporočila oz podpis al kaj je to?

poenostavljen primer iz pdf-ja stran 24
http://www.p-ng.si/~ajurisic/diplome/pe...

Zgodovina sprememb…

jurre ::

jaz imam tudi Probanko, sem danes poslal mail "mojemu" bancniku, odgovoril je:

Spoštovani!
O napadu na podjetje RSA smo bili obveščeni, pravtako pa smo o potencialni nevarnosti takoj preko Prospletnih novic obvestili tudi vas, uporabnike Prospleta.
Glede menjave SecurID kartic se pogovarjamo z našim distributerjem (slovenskim zastopnikom), o vseh novostih vas bomo redno obveščali.

Glede uporabe SecurID kartice ali digitalnega potrdila vam lahko jamčimo, da je uporaba enega ali drugega načina avtentikacije dovolj varna. V vsakem primeru pa je odvisna od uporabnika, koliko tudi sam zna poskrbeti za varnost. Več o tem si lahko preberete na naši spletni strani v razdelku E-BANKA -> Priporočila za varno uporabo interneta!



Kaj predlagate forumasi? Cakat, da bojo zamenjal? Narediti prehod na certifikat, ki je moznost po novem? Uporabljat isto naprej?

Zgodovina sprememb…

  • spremenil: jurre ()

Si3Mendo ::

ha, zanimiv "zvit" odgovor, ne vemo, kaj bo, bodo, ne bodo???

Ta certifikat ni po novem, to imajo banke in drugi npr euprava že celo večnost. Sigen pa to. Meni se ne zdi to neka pametna alternativa, kolker vemo so pofishali NLBju pa še komu na kile teh certifikatov z lahkoto, pa 100tisočev EURov je šlo k hekerjem z računov.
Tak da to zdaj ta SecID je samo panika zaenkrat zgleda, konkretnega nič. Mogoče hočejo samo zaslužit pa tehnologijo menjat, mi pa plačamo. Nja kaj ponudijo, rešitve.
Samo onim iz NLBja so baje vse vkradeno vrnili na račune, po moje bi zdaj blo enako. No lahko upamo da ja.

jurre ::

@Si3Mendo
vem da certifikat ni novost, ampak govorim samo za Probanko. Vcasih so imeli samo securID, zdaj pa je na voljo tudi cert (lahko izbiras ocitno).

MyotisSI ::

Spodaj pripenjam odgovor Nove KBM na moje včerajšnje e-sporočilo:



Spoštovani,

hvala za vaše vprašanje, s katerim izkazujete visoko stopnjo skrbnosti in zavedanja glede lastne varnosti poslovanja na spletu.

V zvezi z omenjenim dogodkom, ki ga omenjate, smo svojim komintentom že 21. marca 2011 objavili naslednje varnostno priporočilo:


Spoštovani uporabniki spletne banke,

podjetje RSA, proizvajalec varnostnih elementov SecurID, ki jih v Novi KBM uporabljamo za varno poslovanje v spletni banki, je nedavno zabeležilo in objavilo varnostni dogodek. Zaradi tega obstaja možnost, da bodo neznane - tretje osebe poskušale od uporabnikov teh elementov pridobiti določene informacije z namenom zlorabe varnostnih mehanizmov spletne banke.

Ob upoštevanju naslednjih priporočil varnost vašega poslovanja v nobenem primeru ni ogrožena:

1. Uporabniki kartic in ključkov SecurID nikoli nikomur ne zaupajte svojega uporabniškega imena, gesla PIN in podatkov, povezanih s kartico SecurID (npr. serijsko število).

2. Če kdorkoli poskuša pridobiti od vas podatke, povezane s spletno banko, vam svetujemo, da teh v nobenem primeru ne posredujete in o poskusu takoj obvestite skrbnike spletne banke.

3. Banka od uporabnikov nikoli ne zahteva tovrstnih podatkov in jih tudi ne sporoča po elektronski pošti, spletu, Facebooku in podobnih medijih.

Z upoštevanjem teh priporočil boste poskrbeli, da bo vaše poslovanje preko spletne banke še naprej varno.

Verjamemo, da ste priporočilo razumeli in ga v celoti upoštevate, zato ste lahko prepričani, da varnost vašega poslovanja z banko ni ogrožena.

Tudi podjetje RSA je nedavno objavilo odprto pismo vsem svojim uporabnikom, v katerem med drugim navaja različne vrste možnih ukrepov glede na individualne ocene stopnje tveganja in prizadetosti posameznih strank. Obenem RSA izpostavlja, da so grožnje in incidenti, s katerimi se stalno srečujemo, neločljiv del internetne sedanjosti, in da je uporaba varnostnih elementov SecurID še naprej eno najboljših orodij za varovanje kritičnih informacij.

V banki sproti spremljamo vsa dogajanja v zvezi z varnostnim dogodkom in smo tudi v stalnem stiku s proizvajalcem.
Izvedli smo že vse dosedaj priporočene dodatne ukrepe, tako bomo ravnali tudi vnaprej.

Lep pozdrav
Igor Janežič
-------------------------------------------------
Referent sodobnih prodajnih poti
Sektor SSPP
Nova KBM d.d.
Vita Kraigherja 4
2505 Maribor



Hja, bomo videli ... zaenkrat o zamenjavi žetonov ne duha ne sluha ...
Ničesar ne želim dokazati, želim pokazati
(Federico Fellini)

MisterR ::

Ob upoštevanju naslednjih priporočil varnost vašega poslovanja v nobenem primeru ni ogrožena:

1. Uporabniki kartic in ključkov SecurID nikoli nikomur ne zaupajte svojega uporabniškega imena, gesla PIN in podatkov, povezanih s kartico SecurID (npr. serijsko število).


Sej ga nihče ne rabi zahtevat, hekerji bodo te podatke že sami dobili =\

Pa še to, je kdo našel to sporočilo na spletnih straneh bank@neta? Jaz nisem.

chewbaca ::

Ko se prijaviš v spletno banko imaš na desni strani povezavo Vsa obvestila.

McMallar ::

Nas je RSA kontaktiral in bo na svoje stroske zamenjal vse zetone, ki jih imamo. Po njihovih zagotovilih so zetoni, izdelani po 23. marcu varni.
Why can't a programmer tell the difference between Halloween and Christmas?
Because OCT31 = DEC25

Keyser Soze ::

Vas?
OM, F, G!

amigo_no1 ::

SKB uporablja ActivIdentity Desktop OTP Token
http://www.actividentity.com/products/a...

Predvidevam da je to čisto druga rešitev ?

knupy ::

Pri nas v podjetju smo pred časom uporabljali RSA in smo ga že pred tem škandalom zamenjali za ključke podjetja SafeNet in smo več kot zadovoljni.

Iz lastnih izkušenj in prav tako na podlagi vseh verodostojnih testov vam lahko povem da se RSA lahko skrije pred SafeNet-u...

http://safenet-inc.com/products/data-pr...
Linux ... and you'll be free.

McMallar ::

Keyser: nas.
Why can't a programmer tell the difference between Halloween and Christmas?
Because OCT31 = DEC25

Keyser Soze ::

Ja, razumem "vas", ampak kdo ste vi?:) Kakšna renomirana velika firma, njihov uradni zastopnik za naše tržišče, Slovenska vojska? To me zanima. Ker saj pravim, večinoma je pri nas (v Sloveniji) čisto zatišje kar se tiče tele kraje ključev.
OM, F, G!

Zgodovina sprememb…

poweroff ::

Pač mi, ane.
sudo poweroff

BlueRunner ::

Jah... vi imate izgleda dober kontakt. Mi še vedno nismo dobili nobenega uradnega odgovora. :|

poweroff ::

Ah, sem pozabil dati smiley.

V resnici mi nismo dobili še nobenega obvestila. Saj ne vem ali naj pokličem in zatežim, ali naj pustim in počakam čez koliko časa se bodo spomnili (ker me zanima obseg nesposobnosti).
sudo poweroff

McMallar ::

"Mi" smo mednarodna organizacija s sedežem na Dunaju.
Why can't a programmer tell the difference between Halloween and Christmas?
Because OCT31 = DEC25

MyotisSI ::

poweroff je izjavil:

Ah, sem pozabil dati smiley.

V resnici mi nismo dobili še nobenega obvestila. Saj ne vem ali naj pokličem in zatežim, ali naj pustim in počakam čez koliko časa se bodo spomnili (ker me zanima obseg nesposobnosti).



Ben, jaz sem kar še malo zatežil Novi KBM in sicer ali bodo omogočili menjavo žetonov in kakšna bo njihova politika ob morebitnem vdoru v račune komitentov. Zaenkrat ni odgovora.

Moti me tudi medijska tišina o tej temi. V Sloveniji Seveda. Sem kar na mmc portal poslal en mejl z osnovnimi podatki o zadevi in me zanim ali bodo kaj pokrili. Res me čudi ta molk, saj je pri nas veliko ljudi, ki uporablja žetone SecurID. Ali pa je ravno to razlog za tiščanje glave v pesek?
Ničesar ne želim dokazati, želim pokazati
(Federico Fellini)

Zgodovina sprememb…

  • spremenil: MyotisSI ()


Vredno ogleda ...

TemaSporočilaOglediZadnje sporočilo
TemaSporočilaOglediZadnje sporočilo
»

Znane vse podrobnosti napada na RSA

Oddelek: Novice / Varnost
146661 (5448) MrStein
»

Marčevski napad na RSA kompromitiral žetone SecurID

Oddelek: Novice / Varnost
4313235 (11186) MyotisSI
»

Napad na RSA, prizadet SecurID

Oddelek: Novice / Varnost
4114957 (11749) McMallar
»

Hekerji vdrli v Lockheed Martin

Oddelek: Novice / Varnost
3812830 (10796) darkolord

Več podobnih tem