RSA-hackers verkregen toegang via phishing-mails

It is also possible to resync a token manually in the RSA Authentication Manager. Providing authentication tokens to everyone who might need to access a resource can be expensive (about $15 per year + licencing costs), particularly since tokens are programmed to "expire" at a fixed time, usually three years, requiring purchase of a new token.

Als ik het goed begrijp is het dus mogelijk om de tokens van alle betalende klanten te laten verlopen, vervolgens het algoritme achter de generator aan te passen en iedere klant een nieuwe token te geven. RSA kan daardoor de eventuele problemen die hier uit volgen centraal voor alle klanten afhandelen. Op deze manier zou je de IT/security afdeling van bedrijven die gebruik maken van deze vorm van authentificatie ontlasten met het oplossen van de potentiële beveiligingslekken.

Trouwens ook een mooie uiting van een stel Russen die een emulator hebben gemaakt voor SecurID's:

To the folks at RSA: if you need help with designing secure encryption algorithms and protocols, let us know, we'll help you out. We're not all bears here in Russia. We play chess better than you, remember?

[Reactie gewijzigd door databit op 23 juli 2024 15:58]

Wat is zwakste punt van de security bedrijf?
1. De mens. Goed verleiden is de kunst. Dan trapt de mens erin en is zijn systeem besmet.
2. Slecht gepatched systeem. Door luiheid van de mens of systeembeheerder worden de gaten niet snel genoeg gedicht. Een mens vertrouwt teveel OMDAT hij in securitybedrijf zit dat zijn computer goed beveilgd is.
3. Slechte virusscanner op server waar emailserver staat.

Heeft security bedrijf geen protocol om GEEN emails te openen met attachment erin? Ook niet als het van onbekend bedrijf ineens een email krijgt, en als het van Microsoft af komt, kijk je toch wel in de email headers waar het precies vandaan komt?
Zolang je niet weet waarom er attachment bij zit open je 'm gewoon niet. De afzender moet eerst reageren waar de attachment voor dient. Zodra je meer van weet wat het is na wat emailen met afzender, dan weet je dat bron betrouwbaar is en kun je verdergaan.

Komt er geen antwoord van die kant of die weet van niks, weet je gelijk dat het foute zaak is. Simpele stappen doen voorkomt ellende: natrekken!

Hoe is die excel bestand dus doorgekomen? Heeft de server geen goede virusscanner?
Systeembeheerder vergeet ook nog server uptodate te houden?
Wat een rare bedrijf. Securitybedrijf die niet eens op eigen vingers kan letten?

Algemeen feit blijft altijd: de mens is eerste probleem. Niet de de gepatched systeem. Een goedoplettende werknemer weet dat er iets niet klopt en verwijdert de email. De virusscanner ben JIJ dus ook zelf. Met je eigen ogen controleer je email headers en trek je de afkomst na. En als je excel eerst opslaat (niet openen dus) en vervolgens door hex editor haal voor vreemde codes in excel ben je ook goed mee bezig. Hernoemen excel.xls naar excel.xls.txt zal anders ingelezen worden, dus in notepad.

Maar inderdaad, nieuwste Excel en Word doen dat in xlsx en docx formaat en daar zitten dus makkelijk rommel bij. Eerst uitpakken en checken wat er erbij zit.

Als je niet zeker bent, kun je nog altijd netwerkkabel eruit trekken en netwerkscanner / autoruns / process explorer opzetten. Je computer is dan standalone en kan er niks misgaan. Je opent de programma dan gewoon en kijkt in process explorer of er vreemde services niet bijkomen. Zo weet je ook gelijk dat er wat loos is. En omdat netwerk eruit is, is nog steeds safe en kan je probleem zonder verdere gevaar elimineren. Er lekt namelijk niks meer eruit.