Hoofdcategorieën
Device Settings

[RSS] [quick] Index » Nieuws » Pro » Maatschappij » Privacy & beveiliging » Hackers stelen RSA SecurID-informatie

Hackers stelen RSA SecurID-informatie

Door Willem de Moor, vrijdag 18 maart 2011 12:00
Submitter: mjk303, views: 25.824

Beveiligingsbedrijf RSA Security, dat onder meer SecurID-sleutelgenerators verkoopt, heeft aangegeven dat hackers erin zijn geslaagd om informatie te stelen over de werking van de sleutelgenerators. De veiligheid daarvan zou aangetast zijn.

Het beveiligingsbedrijf zegt nog te onderzoeken welke gevolgen de diefstal van de gegevens heeft en werkt samen met afnemers van de SecurID-producten. De SecurID-apparatuur wordt gebruikt om elke dertig seconden een nieuwe rsa-sleutel te genereren, die middels een tweetraps-authenticatieproces voor beveiligde internetverbindingen moet zorgen. De codes kunnen ook door middel van een softwareprogramma worden gegenereerd. RSA Security, een dochteronderneming van EMC, heeft ten minste 40 miljoen hardwarematige en 250 miljoen softwarematige SecurID-producten in omloop.

RSA Security heeft een open brief op zijn website gepubliceerd waarin het schrijft dat de gegevensdiefstal geen directe gevolgen heeft voor de SecurID-beveiliging, maar wel het beveiligingsniveau kan ondermijnen. Andere RSA-producten zouden niet getroffen zijn door de aanval en er zou geen privacygevoelige informatie zijn buitgemaakt.

RSA Security onderzoekt de precieze toedracht van de hack nog, maar geeft aan dat de aanval 'bijzonder geavanceerd' was. De hackers zouden gericht op zoek geweest zijn naar informatie over rsa-beveiliging, wat volgens het bedrijf duidt op een zogeheten advanced persistent threat-aanval. Details over wanneer de hackers zijn binnengedrongen en hoe lang zij toegang tot de systemen hadden, geeft RSA Security niet. Wel worden de betrokken klanten geïnformeerd.

RSA Security SecurID
Volgende 12:47 Belgische regering verhoogt belasting op digitale televisie
Vorige 11:42 Details van dualcore-smartphone HTC Shooter duiken op
Advertentie

Gerelateerde content

Gerelateerde jobs

Reacties

Flat modeFlat mode Sorteer aflopendSorteer aflopend Moderatie FAQModfaq
Niveaufilter: -1 Ongewenst: 47 reacties zichtbaar470 Off-topic / Irrelevant: 47 reacties zichtbaar47+1 On-topic: 36 reacties zichtbaar36+2 Informatief: 1 reactie zichtbaar1+3 Spotlight: 0 reacties zichtbaar0
«  1  2  »

Door Japperrrr, vrijdag 18 maart 2011 12:03

Score: 1
De veiligheid zou zijn aangetast... Iedere keer als er informatie lekt wordt natuurlijk de veiligheid lichtelijk aangetast, maar in hoeverre eindgebruikers dat nou daadwerkelijk gaan merken? Ik heb het idee dat het wel meevalt, wanneer er echt iets serieus aan de hand was hadden ze wel groot alarm geslagen.

Door FragNeck, vrijdag 18 maart 2011 12:05

Score: 1
Het kan goed zijn dat bepaalde algoritme zijn gestolen waardoor de hele RSA feitelijk onveilig wordt.

Door roy-t, vrijdag 18 maart 2011 12:08

Score: 1
Nouja je moet altijd nog de seed weten en dus de exacte state van de machine die de key genereerde, dat is erg moeilijk te doen, het gokken van de CPU clock op afstand is bijna onmogelijk.

Door FreezeXJ, vrijdag 18 maart 2011 12:11

Score: 1
Hint: RSA is open-source, zo'n 40 jaar geleden gepubliceerd, en wiskundig aardig waterdicht. Trucje staat netjes op wiki, zijn meer dan genoeg voorbeelden van, en totdat we netjes leren factoriseren (jawel, ontbinden in factoren is ook voor wiskundigen nog best lastig ;) ) zit dat wel snor.

Het grootste probleem is als ze slordig zijn, en in plaats van een nette randomizer ergens shortcuts nemen. Zodra dat boven water komt, verdienen ze het om netjes afgezonken te worden.

Door flabber, vrijdag 18 maart 2011 12:15

Score: 1
Er is wel degelijk een verschil tussen het RSA algoritme en de fysieke tokens van RSA Security. Dat het algoritme goed is, en alle goede algoritmes zijn openbaar, wil nog niet zeggen dat een implementatie in de praktijk geen fouten kan bevatten.

Door latka, vrijdag 18 maart 2011 13:11

Score: 2
Die securID beesten hebben helemaal niets vandoen met RSA, het is een vorm van one-time-pad: hierbij is je wachtwoord variabel en slechts 1 keer te gebruiken.
Idealiter zou er in zo'n token een paar jaar aan random (en dan echt random en niet de random functie van visual basic oid) nummers en wordt er iedere 30 seconden een opgelepeld die je mag overtikken. Het volgende nummer is dan niet te voorspellen.
Waarschijnlijk is dat men in die securID dingen werkt met een beperkte set aan random data (zeg 1 getal per dag) en dan iedere 24 uur een random generator seeden met het nieuwe echt random getal.
Als men nu de random functie heeft achterhaald zou je kunnen sniffen en bijvoorbeeld 3 gegenereerde random getallen die over de lijn gaan achterhalen. Met de random functie en de 3 random getallen kun je de echte random waarde bepalen en dus ook de veilige waardes voor het restant van de 24 uur die nog gelden.

Die securID beesten hebben dus niets vandoen met het asymetrische cryptografische truukje van RSA wat, onder andere, in SSL gebruikt wordt. Alleen het bedrijf erachter is hetzelfde.

Door 4bit, vrijdag 18 maart 2011 13:35

Score: 1
Het aanmaken van de OTP's maken hoogstwaarschijnlijk wel gebruik van het RSA algorithme.
Het is niet zo dat het willekeurig random data is, er zit een methode in, zodat ook de andere kant deze versleuteling kan doen om zo te vergelijken met de OTP die het securID device aanmaakt.

Als het echt volledig random is, kan nooit de andere kant checken of het OTP wel klopt.

Door worldcitizen, vrijdag 18 maart 2011 13:51

Score: 1
Waarschijnlijk is dat men in die securID dingen werkt met een beperkte set aan random data (zeg 1 getal per dag) en dan iedere 24 uur een random generator seeden met het nieuwe echt random getal.
De SecureID tokes zijn Time-based One-time Password Tokens.

Er bestaan ook tokens met open Time-based One-time Password Algorithmes zoals deze en ook nog een stuk goedkoper dan secureID.
Waarom SecureID zo reageert is, aangezien het protocol van de openvarianten bekend is, me niet helemaal duidelijk. Je zou bijna gaan denken dat in hun algoritme een backdoor zit?

Voor Open Authentication (OATH) zie www.openauthentication.org.

[Reactie gewijzigd door worldcitizen op vrijdag 18 maart 2011 13:57]

Door wolkewietje, vrijdag 18 maart 2011 15:52

Score: 1
Er is 1 klein voordeel die mensen hebben die gebruik maken van deze apparaten.
Als voorbeeld gebruik ik de authentikator van WoW.
Men registreerd deze op een account en die authentikator heeft een eigen nummer.
Na de registratie dient men 1x de code te syncen met je account zodat aan de andere zijde jou gegevens goed komen te staan met de code generator die jij gebruikt.

Wil men nu jou gegevens gebruiken dan moet men ook jou persoonlijke nummer kennen + de time sync van jou apparaat.
Een afwijking van 30 seconde maakt het dus al onbruikbaar.

Dit systeem is nu dus nog redelijk veilig maar ik hoop voor hetg bedrijf wel dat ze de hacker te pakken krijgen en die gast ook meteen een vlinke dauw geven.
Hier is duidelijk spraken van gericht een beveiligings systeem die redelijk goed werkt, er onderuit te trekken.

Door kozue, vrijdag 18 maart 2011 17:02

Score: 1
Als het systeem echt te leiden heeft onder het uitlekken van info, was het dus geen systeem dat redelijk goed werkt. Security by obscurity heeft nog nooit goed gewerkt. Als hun beveiliging echt gebaseerd was op geheimen vind ik het goed dat het uitgelekt is, misschien gaan ze dan eens echte security bouwen...

Door erwinb, zaterdag 19 maart 2011 09:41

Score: 1
even een kleine correctie, de authentikator van WoW is niet van RSA maar van Vasco. Vasco wordt vooral veel gebruikt in de bancaire wereld waar het wel echt secuur moet zijn. voorbeelden hiervan zijn Rabobank, ABN/Amro, Fortis.

Door latka, zondag 20 maart 2011 22:59

Score: 1
RSA word ook gebruikt door banken o.a. voor VPN/telewerken. Vasco is niet per definitie beter dan RSA.

Door El_ByteMaster, vrijdag 18 maart 2011 17:22

Score: 1
Nee, dit is geen OTP.

Bij een OTP heb je net zoveel "pad" nodig als data die je wil versturen, een op een.

Dit is een algoritme dat codes genereert, aan jouw kant via het apparaatje en aan de serverkant met hetzelfde algoritme en intialisatie-variabelen.

Met zes getallen heb je een 1:999999 kans het goed te raden. Via de gestolen code kan deze kans misschien worden verkleind, onbekend is tot hoever je de 'onbekenden' kan terugbrengen.

Door latka, zondag 20 maart 2011 23:00

Score: 1
Het is een OTP als in one-time-password. Jij wilt de data zelf xor'en met de OTP, dat kan, maar is niet gebruikelijk zoals je zelf aan aangeeft. Gebruikelijker is de OTP te gebruiken om een sessie key op te zetten en de rest met AES af te handelen oid.

Door Proxx, vrijdag 18 maart 2011 12:03

Score: 0
hoppa en nu met een nieuwe techniek aankomen om de verkoop cijfers te boosten ;)

Door dasiro, vrijdag 18 maart 2011 12:38

Score: 0
of eerder te laten kelderen :(

Door YopY, vrijdag 18 maart 2011 12:41

Score: 1
Sja, bedrijfsrisico x). Aan de ene kant kunnen ze een nieuw systeem introduceren nu het oude systeem gekraakt is (40 miljoen hard, 250 miljoen softwareproducten vervangen == kassa), aan de andere kant zullen hun klanten nu mogelijk naar een andere partij overstappen.

Door Pixeltje, vrijdag 18 maart 2011 12:54

Score: 1
Ja, of de bestaande klanten weigeren te betalen voor het nieuwe product? Of ten minste korting eisen.

Het is ten slotte als klant niet jou probleem hoe ze het oplossen, als het maar opgelost wordt. Je kan niet verwachten van 290 miljoen gebruikers dat ze zonder sputteren geld schokken voor een nieuwe beveiliging als de oude door de leverancier gewoon niet goed genoeg beveiligd is geweest..

Het kan nog zo'n geavanceerde hack zijn geweest; de gegevens liggen kennelijk te dicht bij de buitenwereld ogpeslagen. Ik zeg niet dat het bedrijf alle kosten/lasten moet dragen, maar het bedrijf kan ook niet verwachten dat klanten de volledige kosten dragen.

Waarschijnlijk daarom staat er in het artikel dat er samen met klanten aan een oplossing wordt gewerkt..

[Reactie gewijzigd door Pixeltje op vrijdag 18 maart 2011 12:57]

Door Davey400, vrijdag 18 maart 2011 12:03

Score: 1
Redelijk kritiek als hiermee de integriteit van alle RSA SecurID tokens geraakt wordt; met in het donkerste scenario de ondergang van RSA Security.

Door latka, vrijdag 18 maart 2011 13:12

Score: 1
Nah, het principe is de one-time-pad en dat is niet te kraken (is sterker dan RSA als onderdeel van SSL). RSA Security doet veel meer dan deze tokens uitleveren.

Door Weyland, vrijdag 18 maart 2011 12:05

Score: 0
Weer een beveiligingsbedrijf dat is gehackt. Je vertrouwen in de digitale beveiliging wordt zo wel enigszins aangetast.

Door Vengeful, vrijdag 18 maart 2011 12:07

Score: 0
Dit. Kunnen wel anderen beveiligen, maar niet zichzelf? Beetje kort door de bocht, maar toch.

Wat ik mij nu vooral afvraag is hoe lang het duurt voor we weer berichten krijgen dat deze hackers ook vanuit china opereren.

Door flabber, vrijdag 18 maart 2011 12:20

Score: 0
Beveliging is een erg brede tak van sport.
Dat men erg veel verstand heeft van authenticatie en authorisatie wil nog niet zeggen dat ze ook direct expert zijn op het gebied van bijvoorbeeld firewalls.
Ik denk (hoop) ook niet dat MacAfee bijvoorbeeld zelf de systemen bouwt die de fysieke toegang tot hun gebouwen regelt.

Door mae-t.net, zondag 20 maart 2011 04:01

Score: 1
Beveiliging is een 'state of mind', een manier van denken. Als je op 1 gebied ervan expert bent, is je inzicht op andere gebieden minstens redelijk. Helemaal los van elkaar moet je dat niet zien.

Door Herko_ter_Horst, vrijdag 18 maart 2011 13:21

Score: 1
Perfecte beveiliging is prima mogelijk, maar niet als er ook nog mensen mee moeten werken.

Security is wat dat betreft net als verzekeringen: afweging kosten-baten c.q. kosten v.s. risico's/gevolgen.

Door deus4, vrijdag 18 maart 2011 12:16

Score: 1
Tja, op ongeveer de eerste pagina van ieder security-related boek is te vinden dat Security Through Obscurity een slecht idee is... Eigenlijk zou deze gegevensdiefstal dus helemaal geen issue mogen zijn...

Door YopY, vrijdag 18 maart 2011 12:42

Score: 1
Aan de andere kant, je wachtwoord hou je immers ook geheim - is ook obscurity. In feite is dit vergelijkbaar, alleen is het in dit geval het algoritme wat gebruikt wordt om een wachtwoord te genereren.

Door Keiichi, vrijdag 18 maart 2011 12:19

Score: 1
Dus RSA security is deels gebasseerd door obscurity?

Dan is het imho nooit betrouwbaar geweest.

Door latka, vrijdag 18 maart 2011 13:13

Score: 1
RSA Security is een bedrijf, RSA wat jij bedoelt is een algoritme voor asymetrische encryptie. Aan die laatste is niets geheim en deze hack raakt dit ook helemaal niet.

Door CyBeR, vrijdag 18 maart 2011 13:43

Score: 1
Dus RSA security is deels gebasseerd door obscurity?

Dan is het imho nooit betrouwbaar geweest.
Strict gezien is alle crypto gebaseerd op obscurity: van de key. Zolang je die niet hebt kom je nog altijd nergens, als 't algoritme goed is.

Door kozue, vrijdag 18 maart 2011 17:20

Score: 0
Wat latka zei... plus dat er volledige open source implementaties zijn van het RSA algoritme, waardoor er dus niks van obscurity in kan zitten.
Dit gaat niet over het algoritme, maar over een bedrijfje dat blijkbaar z'n zaken niet op orde heeft.

Door PcDealer, vrijdag 18 maart 2011 12:24

Score: 1
Het is mij niet duidelijk hoe de hack heeft plaatsgevonden. Is er ingebroken op de website en zo de achterliggende it-systemen binnengedrongen? Of maakt de software (Authentication Manager) contact met een ip-adres en is er zo toegang verkregen?

Deze link is duidelijker: http://www.theregister.co...reach_leaks_securid_data/
Attackers breached the servers of RSA and stole information that could be used to compromise the security of two-factor authentication tokens used by 40 million employees to access sensitive corporate and government networks, the company said late Thursday.

[Reactie gewijzigd door PcDealer op vrijdag 18 maart 2011 12:50]

Door Thystan, vrijdag 18 maart 2011 12:26

Score: 1
Waar ik werkte zijn ze recent van RSA afgestapt. Het is voor gebruikers vaak lastiger en een "gewone" VPN volstaat in merendeel van de gevallen.

Ook andere plekken waar eerst met een hardwarematige RSA-key werd gewerkt (om in te loggen op Citrix) zijn nu over op RSA key per SMS bijvoorbeeld.

Wat ik wil zeggen: Mijn inziens was het sowieso een EOL product.

Door kKaltUu, vrijdag 18 maart 2011 12:35

Score: 1
Je weet dat RSA geen product is?

Er zijn RSA tokens die gebruik maken van het RSA algoritme.
En deze tokens zijn zeker niet EOL, misschien voor je werkgever als tool schoot het z'n doel voorbij of is er niet genoeg gebruikerstraining geweest.

Door kozue, vrijdag 18 maart 2011 17:22

Score: 0
Wat hij bedoelt met 'RSA' is "een product van" het genoemde bedrijf ("RSA security"). Dit heeft weinig te maken met of RSA wel of niet een product is, maar is gewoon een manier om zinnen te bouwen. Net zoals je mensen hebt die zeggen dat ze "Microsoft" of "Apple" gebruiken, ook al zijn dat geen producten.

Door PcDealer, vrijdag 18 maart 2011 13:01

Score: 1
De RSA Authenticator SID700 is echt niet EoL. Wordt prima verkocht hier en steeds meer. Zeker nu meer bedrijven personeel remote laten inloggen.

Door themac1983, vrijdag 18 maart 2011 13:02

Score: 1
RSA tokens lastig?
sorry maar wat voor bedrijf was dit? een kleuterschool ofzo?
Je hoeft alleen (IPV je wachtwoord) een pincode te onthouden om via RSA een VPN verbinding op te zetten. Deze pin code kun je ook nog zelf instellen en kiezen.

Als dit al te lastig is dan kunnen we beter gewoon ook de PIN voor je bankpas afschaffen en stoppen met onze deuren op slot doen, al die sleutels. het is zo moeilijk ze uit elkaar te houden :P

Door .Johnny, vrijdag 18 maart 2011 13:52

Score: 0
Het lastige is natuurlijk dat je een fysiek object bij je moet hebben. Net als met de rabo random reader. Als je het apparaat niet bij je hebt kun je niks. Dat kan wel degelijk in een aantal situaties erg onhandig zijn.

Door SanSnoopy, vrijdag 18 maart 2011 12:38

Score: 1
Gelukkig kennen ze bij RSA security wel het verschil tussen stelen en het extracten (sic) van informatie / data...
Een nieuwssite voor en door IT'ers zou toch wel het verschil mogen weten.

Door xminator, vrijdag 18 maart 2011 13:03

Score: 1
Je hebt altijd nog je eigen wachtwoord erbij dus : eigen ww( is vast) + cijfers van token.

Dus het is nog niet zo erg.

Door kozue, vrijdag 18 maart 2011 17:24

Score: 0
Beetje kort door de bocht. Misschien zit hun product wel gaar genoeg in elkaar dat als je weet hoe het werkt, dat je het ww kunt achterhalen als iemand 2x het token gebruikt ofzo. Of het wel of niet erg is kun je pas uitspraken over doen als je weet hoe het technisch in z'n werk gaat.
«  1  2  »

Op dit item kan niet meer gereageerd worden.

Volgende 12:47 Belgische regering verhoogt belasting op digitale televisie
Vorige 11:42 Details van dualcore-smartphone HTC Shooter duiken op
VNU Media logo Hosted by True

© 1998 - 2012 Tweakers.net B.V. - Alle rechten voorbehouden - Contact - Jouw privacy - Algemene Voorwaarden

Uitgever van:

Website van het jaar 2011