» »

RSA: napad delo ene države

Sophos - RSA, ki je bila marca žrtev napada, zaradi česar je bilo treba zamenjati več milijonov žetonov SecurID, za napad obtožuje eno izmed neprijateljskih držav. Razkrili so rezultate preiskave incidenta, ki kažejo, da sta napad izvedli dve skupini hekerjev, ki sta obe delovali po naročilu iste države.

Izvršni direktor RSA Art Coviello je pojasnil, da sta skupini delovali druga z drugo. Prva je bila bistveno bolj vidna in očitna, medtem ko je bila druga v službi podpore in mnogo manj opazna. Da gre za napad kakšne države, neposrednih dokazov ni (in jih zaradi narave interneta tudi nikoli ne bo), a zahtevnost, obseg in izvedba napada kažejo na to možnost. Tovrstnega napada namreč naj ne bi bila zmožna izvesti nobena organizacija, razen državnih služb katere izmed držav. Pri tem RSA poudarja, da ni nobenih indicev, da bi šlo za Kitajsko, ki je vedno prva v vrsti osumljenih. Nadaljnji posredni dokazi, da je šlo za delo kakšne neprijateljske države, so še zlasti izraba vdora, saj so s tako pridobljenimi podatki kasneje vdrli v sisteme ameriškega proizvajalca vojaške opreme Lockheed Martin.

Spomnimo, da napad ni bil ravno atomska fizika. V grobem je šlo takole: napadalci so več zaposlenim poslali elektronsko sporočilo s priponko s privlačnim imenom (2011 Recruitment plan.xls), ki jo je vsaj eden tudi odprl. To je na računalnik prek tedaj neznane ranljivosti v Flashu namestilo trojanskega konja Poison Ivy. To je bila tudi vstopna točka za nadaljnje rovarjenje po sistemih. Tovrstni napadi so v dobro poznani in v zadnjem času tudi pogosto izvedeni.

25 komentarjev

kixs ::

...izmed neprijateljskih držav.


WTF
Iscem/kupim/menjam stare racunalnike in dele (letnik 1990 do 1999). Vec na ZS

shinca ::

iz SSKJ:
neprijáteljski -a -o prid. ki ni prijateljski: prijateljske in neprijateljske države / zastar. neprijateljski sosedje (sovražni, nasprotni) n?prijáteljsko prisl.: neprijateljsko ravnati s kom

Zgodovina sprememb…

  • spremenilo: shinca ()

Bolf3nk ::

zaradi česar je bilo treba zamenjati več milijonov žetonov SecurID


hmm, Nkmb pa nič?

FireSnake ::

Bolf3nk: to tudi mene čudi...
Vprašanje, če sploh vedo, da je bila zadeva razbita :D

Tako je, če ekonomisteki vidijo samo dobiček .... to smo že zadnjič v eni temo omenjali.
" In The Sound Of Silence Time Is Standing Still" " You Have To Learn To Crawl Before You Learn To Walk"

Volk| ::

...izmed neprijateljskih držav.


Kaj mislite, kera država je krivec?

Ni rečeno da je potrebno menjat vse ključe...samo določene serije. Poleg tega NKBM(pa verjetno tudi drugi) poleg gesla s ključa vnest še kodo PIN. Če nimaš PIN-a, ti tudi ključ nič ne pomaga.
_______________________________________________________
Izobražen je tisti človek, ki ve, kje bo našel tisto, česar ne ve.

Zgodovina sprememb…

  • spremenil: Volk| ()

enadvatri ::

Pri nas javna uprava in drugi državni organi tudi uporabljajo VPN povezave z RSA-jevo avtentikacijo za dostop do svojih podomrežij znotraj HKOM-a. Mislim, da s tem vihtita DEUP na MJU-ju in Astec.

McMallar ::

Ni rečeno da je potrebno menjat vse ključe...samo določene serije.


Vsi kljuci izdelani do konca marca 2011 so kompromitirani. To je bilo v uradnem mailu z RSA.
Why can't a programmer tell the difference between Halloween and Christmas?
Because OCT31 = DEC25

Volk| ::

McMallar je izjavil:

Ni rečeno da je potrebno menjat vse ključe...samo določene serije.


Vsi kljuci izdelani do konca marca 2011 so kompromitirani. To je bilo v uradnem mailu z RSA.


To pa nisem vedel.
_______________________________________________________
Izobražen je tisti človek, ki ve, kje bo našel tisto, česar ne ve.

enadvatri ::

Močno dvomim, da je Astec dobavil in zamenjal vse generatorje, ki so v uporabi. >:D

Iatromantis ::

Bančnih, kjer si le potrošnik, očitno ne bodo menjali, kot so napovedali sami v javnem pismu, ti dobijo 'risk-based strategies' obravnavo:
 rsa

rsa

enadvatri ::

Iatromantis je izjavil:

Bančnih, kjer si le potrošnik, očitno ne bodo menjali, kot so napovedali sami v javnem pismu, ti dobijo 'risk-based strategies' obravnavo:
 rsa

rsa


Neresno in pohlepno; čista ekonomika.

Kaj pa naše sodstvo in javna uprava? :))

MrStein ::

McMallar je izjavil:

Ni rečeno da je potrebno menjat vse ključe...samo določene serije.


Vsi kljuci izdelani do konca marca 2011 so kompromitirani. To je bilo v uradnem mailu z RSA.

Kako pa se da ugotoviti, kdaj je bil nek ključ izdelan?

Na mojem je natiskan datum v prihodnosti.
(tri dvomestne številke, ločene s poševnicami - ugibam, da gre za datum)
Teštiram če delaž - umlaut dela: ä ?

Volk| ::

Ta datum pomeni kako dolgo ti ključ deluje.
Sem pa slišal iz zanesljivih virov, da so ključi predragi, da bi jih kar tako menjali. To kar ti plačaš v primeru nkbm je samo drobiš. Banka namreč sponzorira. Če bi moral uporabnik plačat polno ceno verjetno noben ne bi imel. Naj bi stal en ključek čez 100$
_______________________________________________________
Izobražen je tisti človek, ki ve, kje bo našel tisto, česar ne ve.

enadvatri ::

Ja, datum je rok veljavnosti.

Glede stroškov menjave se ne bi strinjal. Narejeni so na Kitajskem, izgledajo ceneno. Tržna cena je eno, stroški proizvodnje so drugo. Ker jih je dolžan zamenjati proizvajalec (beri: RSA), je to zanje strošek deljen z 10 ali morda celo s 100 v primerjavi s ceno na trgu.

Offtopic ... Včasih so izgledali nekoliko solidneje izdelani, bili so kovinski v velikosti kreditne kartice (SD200 in 520), če se kdo spomni. Nato so se prelevili v kompaktno plastično smet (SD600), sedaj pa izgledajo nikakvo(SD700 in 800). Slikica. Čitalec in generator Vasco Digipass 800, ki ga uporablja Banka Koper je po zgledu tudi nikakav, na hrbtni strani pa na valekiko piše: "Made in China".

Volk| ::

Mogoče se zanašajo na to, da ti sama koda z ključa nič ne pomaga in zato ni potrebno zamenjat. Ne vem kako imajo drugi ampak ta dodatna PIN koda je res dobra ideja. Čeprav me je na začetku motila, ker si je nikoli nisem zapomnil :D

Glede izgleda..men so pa kul. Fajn majhni kot obesek.
_______________________________________________________
Izobražen je tisti človek, ki ve, kje bo našel tisto, česar ne ve.

McMallar ::

Zadaj na kjucu je datum poteka veljavnosti kljuca v obliki mm/dd/yy. Kljuc ima veljavnost dobre 3 leta. Zakaj dobre: ce pogledam v bazi "birth date" kjuca je vedno vec kot 3 leta. To pa zato, ker RSA garantira zivljenjsko dobo kljuca 3 leta. Morajo pa jih spraviti iz proizvodnje do uporabnikov. Tako na prst, dodaj se enega pol leta zraven pa bos videl, kdaj je bil izdelan.

Cena je pa odvisna od kolicine in pogodbe. Nas pride en kljuc tam okoli $45.
Why can't a programmer tell the difference between Halloween and Christmas?
Because OCT31 = DEC25

Matthai ::

enadvatri je izjavil:

Pri nas javna uprava in drugi državni organi tudi uporabljajo VPN povezave z RSA-jevo avtentikacijo za dostop do svojih podomrežij znotraj HKOM-a. Mislim, da s tem vihtita DEUP na MJU-ju in Astec.

Jaz sem klical na MJU. Kot prvo najprej sploh niso dobro vedeli kaj govorim. Ko sem jim dopovedal (napisal sem še mail), pa sem dobil po nekaj časa odgovor, da tista oseba ni pristojna, da o tem odloča... in da "se menda nekaj dela na tem".

Od takrat je minilo že ohoho časa. RSA SecurID pa še vedno EDINA vstopna točka v HKOM omrežje...

Se pravi - ne dogaja se nič.

S tem, da je HKOM omrežje "zaprto" samo od zunaj. Znotraj je omrežje zelo slabo zaščiteno.
Zloraba oblasti, avtokracija in tema nikoli ne pridejo hipoma, vedno je vmesno
obdobje mračenja, ko se dan preveša v noč; biti moramo pozorni opazovalci
okolja in varuhi luči, da ne postanemo nemočni ujetniki teme. --W. Douglas

enadvatri ::

Matthai je izjavil:

enadvatri je izjavil:

Pri nas javna uprava in drugi državni organi tudi uporabljajo VPN povezave z RSA-jevo avtentikacijo za dostop do svojih podomrežij znotraj HKOM-a. Mislim, da s tem vihtita DEUP na MJU-ju in Astec.

Jaz sem klical na MJU. Kot prvo najprej sploh niso dobro vedeli kaj govorim. Ko sem jim dopovedal (napisal sem še mail), pa sem dobil po nekaj časa odgovor, da tista oseba ni pristojna, da o tem odloča... in da "se menda nekaj dela na tem".

Od takrat je minilo že ohoho časa. RSA SecurID pa še vedno EDINA vstopna točka v HKOM omrežje...

Se pravi - ne dogaja se nič.

S tem, da je HKOM omrežje "zaprto" samo od zunaj. Znotraj je omrežje zelo slabo zaščiteno.


Poizkusi povprašati kar g. Marka Krečiča z DEUP na MJU, če je še tam zaposlen. Ker teh. rešitev zagotavlja Astec, sem mnenja, da bi se moral že sam angažirati pri "sanaciji". Resno podjetje, ki ponuja storitve tudi s področja informacijske varnosti, bi za tak incident moralo vedeti.

Kako dobro oz. kako slabo je zaščiteno HKOM omrežje, težko sodiva, ker ni nobene javno dostopne varnostne analize/ocene. Sem pa podobnega mnenja, da je varnostno stanje zelo vprašljivo!

Zgodovina sprememb…

  • spremenilo: enadvatri ()

Matthai ::

No, ravno z njim sem govoril.

Obstaja sicer varnostna analiza VoIP in LAN omrežja, ki sem jo za "našo" organizacijo opravil sam. Rezultati so katastrofalni. Pri nas lahko poslušam vse telefone in prestrezam vse internetne komunikacije. Celo pri šifriranju e-pošte se da zaradi specifičnega načina uporabe e-pošte ugotoviti zelo veliko o vsebini e-sporočila...
Zloraba oblasti, avtokracija in tema nikoli ne pridejo hipoma, vedno je vmesno
obdobje mračenja, ko se dan preveša v noč; biti moramo pozorni opazovalci
okolja in varuhi luči, da ne postanemo nemočni ujetniki teme. --W. Douglas

Volk| ::

kaj ni pri digitalni tehnologijo kot so Voip in podobbno nemogoče prislužkovati?
_______________________________________________________
Izobražen je tisti človek, ki ve, kje bo našel tisto, česar ne ve.

MrStein ::

Kaj železne ladje res ne morejo pluti?

;)
Teštiram če delaž - umlaut dela: ä ?

enadvatri ::

Volk| je izjavil:

kaj ni pri digitalni tehnologijo kot so Voip in podobbno nemogoče prislužkovati?


Pa še kako enostavno je! :)) ... če seveda ni povezava šifrirana.

dronyx ::

Volk| je izjavil:

kaj ni pri digitalni tehnologijo kot so Voip in podobbno nemogoče prislužkovati?

Neprijatelji nas vedno lahko prisližkujejo. :))
Only the weak use their brains - the strong use their balls!

Matthai ::

Volk| je izjavil:

kaj ni pri digitalni tehnologijo kot so Voip in podobbno nemogoče prislužkovati?

:))

Pri nas so telefoni sicer res imeli neko "zaščito", ki naj bi onemogočala prestrezanje, ampak sem jo zlomil v par minutah.
Zloraba oblasti, avtokracija in tema nikoli ne pridejo hipoma, vedno je vmesno
obdobje mračenja, ko se dan preveša v noč; biti moramo pozorni opazovalci
okolja in varuhi luči, da ne postanemo nemočni ujetniki teme. --W. Douglas

Volk| ::

no, toliko o varnosti digitalne tehnologije8-)
_______________________________________________________
Izobražen je tisti človek, ki ve, kje bo našel tisto, česar ne ve.


Vredno ogleda ...

TemaSporočilaOglediZadnje sporočilo
TemaSporočilaOglediZadnje sporočilo
»

RSA: napad delo ene države

Oddelek: Novice / Varnost
253089 (1620) Volk|
»

Znane vse podrobnosti napada na RSA

Oddelek: Novice / Varnost
143014 (1801) MrStein
»

Hekerji napadli Mednarodni denarni sklad

Oddelek: Novice / Varnost
112338 (1302) CaqKa
»

Marčevski napad na RSA kompromitiral žetone SecurID

Oddelek: Novice / Varnost
436006 (3957) MyotisSI
»

Hekerji vdrli v Lockheed Martin

Oddelek: Novice / Varnost
385171 (3137) darkolord

Več podobnih tem