Cookies op Tweakers

Tweakers maakt gebruik van cookies, onder andere om de website te analyseren, het gebruiksgemak te vergroten en advertenties te tonen. Door gebruik te maken van deze website, of door op 'Ga verder' te klikken, geef je toestemming voor het gebruik van cookies. Wil je meer informatie over cookies en hoe ze worden gebruikt, bekijk dan ons cookiebeleid.

Meer informatie

Door , , 47 reacties
Submitter: mjk303

Beveiligingsbedrijf RSA Security, dat onder meer SecurID-sleutelgenerators verkoopt, heeft aangegeven dat hackers erin zijn geslaagd om informatie te stelen over de werking van de sleutelgenerators. De veiligheid daarvan zou aangetast zijn.

Het beveiligingsbedrijf zegt nog te onderzoeken welke gevolgen de diefstal van de gegevens heeft en werkt samen met afnemers van de SecurID-producten. De SecurID-apparatuur wordt gebruikt om elke dertig seconden een nieuwe rsa-sleutel te genereren, die middels een tweetraps-authenticatieproces voor beveiligde internetverbindingen moet zorgen. De codes kunnen ook door middel van een softwareprogramma worden gegenereerd. RSA Security, een dochteronderneming van EMC, heeft ten minste 40 miljoen hardwarematige en 250 miljoen softwarematige SecurID-producten in omloop.

RSA Security heeft een open brief op zijn website gepubliceerd waarin het schrijft dat de gegevensdiefstal geen directe gevolgen heeft voor de SecurID-beveiliging, maar wel het beveiligingsniveau kan ondermijnen. Andere RSA-producten zouden niet getroffen zijn door de aanval en er zou geen privacygevoelige informatie zijn buitgemaakt.

RSA Security onderzoekt de precieze toedracht van de hack nog, maar geeft aan dat de aanval 'bijzonder geavanceerd' was. De hackers zouden gericht op zoek geweest zijn naar informatie over rsa-beveiliging, wat volgens het bedrijf duidt op een zogeheten advanced persistent threat-aanval. Details over wanneer de hackers zijn binnengedrongen en hoe lang zij toegang tot de systemen hadden, geeft RSA Security niet. Wel worden de betrokken klanten geïnformeerd.

RSA Security SecurID

Gerelateerde content

Alle gerelateerde content (24)
Moderatie-faq Wijzig weergave

Reacties (47)

Waar ik werkte zijn ze recent van RSA afgestapt. Het is voor gebruikers vaak lastiger en een "gewone" VPN volstaat in merendeel van de gevallen.

Ook andere plekken waar eerst met een hardwarematige RSA-key werd gewerkt (om in te loggen op Citrix) zijn nu over op RSA key per SMS bijvoorbeeld.

Wat ik wil zeggen: Mijn inziens was het sowieso een EOL product.
Je weet dat RSA geen product is?

Er zijn RSA tokens die gebruik maken van het RSA algoritme.
En deze tokens zijn zeker niet EOL, misschien voor je werkgever als tool schoot het z'n doel voorbij of is er niet genoeg gebruikerstraining geweest.
Wat hij bedoelt met 'RSA' is "een product van" het genoemde bedrijf ("RSA security"). Dit heeft weinig te maken met of RSA wel of niet een product is, maar is gewoon een manier om zinnen te bouwen. Net zoals je mensen hebt die zeggen dat ze "Microsoft" of "Apple" gebruiken, ook al zijn dat geen producten.
De RSA Authenticator SID700 is echt niet EoL. Wordt prima verkocht hier en steeds meer. Zeker nu meer bedrijven personeel remote laten inloggen.
RSA tokens lastig?
sorry maar wat voor bedrijf was dit? een kleuterschool ofzo?
Je hoeft alleen (IPV je wachtwoord) een pincode te onthouden om via RSA een VPN verbinding op te zetten. Deze pin code kun je ook nog zelf instellen en kiezen.

Als dit al te lastig is dan kunnen we beter gewoon ook de PIN voor je bankpas afschaffen en stoppen met onze deuren op slot doen, al die sleutels. het is zo moeilijk ze uit elkaar te houden :P
Het lastige is natuurlijk dat je een fysiek object bij je moet hebben. Net als met de rabo random reader. Als je het apparaat niet bij je hebt kun je niks. Dat kan wel degelijk in een aantal situaties erg onhandig zijn.
De veiligheid zou zijn aangetast... Iedere keer als er informatie lekt wordt natuurlijk de veiligheid lichtelijk aangetast, maar in hoeverre eindgebruikers dat nou daadwerkelijk gaan merken? Ik heb het idee dat het wel meevalt, wanneer er echt iets serieus aan de hand was hadden ze wel groot alarm geslagen.
Het kan goed zijn dat bepaalde algoritme zijn gestolen waardoor de hele RSA feitelijk onveilig wordt.
Hint: RSA is open-source, zo'n 40 jaar geleden gepubliceerd, en wiskundig aardig waterdicht. Trucje staat netjes op wiki, zijn meer dan genoeg voorbeelden van, en totdat we netjes leren factoriseren (jawel, ontbinden in factoren is ook voor wiskundigen nog best lastig ;) ) zit dat wel snor.

Het grootste probleem is als ze slordig zijn, en in plaats van een nette randomizer ergens shortcuts nemen. Zodra dat boven water komt, verdienen ze het om netjes afgezonken te worden.
Er is wel degelijk een verschil tussen het RSA algoritme en de fysieke tokens van RSA Security. Dat het algoritme goed is, en alle goede algoritmes zijn openbaar, wil nog niet zeggen dat een implementatie in de praktijk geen fouten kan bevatten.
Die securID beesten hebben helemaal niets vandoen met RSA, het is een vorm van one-time-pad: hierbij is je wachtwoord variabel en slechts 1 keer te gebruiken.
Idealiter zou er in zo'n token een paar jaar aan random (en dan echt random en niet de random functie van visual basic oid) nummers en wordt er iedere 30 seconden een opgelepeld die je mag overtikken. Het volgende nummer is dan niet te voorspellen.
Waarschijnlijk is dat men in die securID dingen werkt met een beperkte set aan random data (zeg 1 getal per dag) en dan iedere 24 uur een random generator seeden met het nieuwe echt random getal.
Als men nu de random functie heeft achterhaald zou je kunnen sniffen en bijvoorbeeld 3 gegenereerde random getallen die over de lijn gaan achterhalen. Met de random functie en de 3 random getallen kun je de echte random waarde bepalen en dus ook de veilige waardes voor het restant van de 24 uur die nog gelden.

Die securID beesten hebben dus niets vandoen met het asymetrische cryptografische truukje van RSA wat, onder andere, in SSL gebruikt wordt. Alleen het bedrijf erachter is hetzelfde.
Er is 1 klein voordeel die mensen hebben die gebruik maken van deze apparaten.
Als voorbeeld gebruik ik de authentikator van WoW.
Men registreerd deze op een account en die authentikator heeft een eigen nummer.
Na de registratie dient men 1x de code te syncen met je account zodat aan de andere zijde jou gegevens goed komen te staan met de code generator die jij gebruikt.

Wil men nu jou gegevens gebruiken dan moet men ook jou persoonlijke nummer kennen + de time sync van jou apparaat.
Een afwijking van 30 seconde maakt het dus al onbruikbaar.

Dit systeem is nu dus nog redelijk veilig maar ik hoop voor hetg bedrijf wel dat ze de hacker te pakken krijgen en die gast ook meteen een vlinke dauw geven.
Hier is duidelijk spraken van gericht een beveiligings systeem die redelijk goed werkt, er onderuit te trekken.
even een kleine correctie, de authentikator van WoW is niet van RSA maar van Vasco. Vasco wordt vooral veel gebruikt in de bancaire wereld waar het wel echt secuur moet zijn. voorbeelden hiervan zijn Rabobank, ABN/Amro, Fortis.
RSA word ook gebruikt door banken o.a. voor VPN/telewerken. Vasco is niet per definitie beter dan RSA.
Als het systeem echt te leiden heeft onder het uitlekken van info, was het dus geen systeem dat redelijk goed werkt. Security by obscurity heeft nog nooit goed gewerkt. Als hun beveiliging echt gebaseerd was op geheimen vind ik het goed dat het uitgelekt is, misschien gaan ze dan eens echte security bouwen...
Nee, dit is geen OTP.

Bij een OTP heb je net zoveel "pad" nodig als data die je wil versturen, een op een.

Dit is een algoritme dat codes genereert, aan jouw kant via het apparaatje en aan de serverkant met hetzelfde algoritme en intialisatie-variabelen.

Met zes getallen heb je een 1:999999 kans het goed te raden. Via de gestolen code kan deze kans misschien worden verkleind, onbekend is tot hoever je de 'onbekenden' kan terugbrengen.
Het is een OTP als in one-time-password. Jij wilt de data zelf xor'en met de OTP, dat kan, maar is niet gebruikelijk zoals je zelf aan aangeeft. Gebruikelijker is de OTP te gebruiken om een sessie key op te zetten en de rest met AES af te handelen oid.
Het aanmaken van de OTP's maken hoogstwaarschijnlijk wel gebruik van het RSA algorithme.
Het is niet zo dat het willekeurig random data is, er zit een methode in, zodat ook de andere kant deze versleuteling kan doen om zo te vergelijken met de OTP die het securID device aanmaakt.

Als het echt volledig random is, kan nooit de andere kant checken of het OTP wel klopt.
Waarschijnlijk is dat men in die securID dingen werkt met een beperkte set aan random data (zeg 1 getal per dag) en dan iedere 24 uur een random generator seeden met het nieuwe echt random getal.
De SecureID tokes zijn Time-based One-time Password Tokens.

Er bestaan ook tokens met open Time-based One-time Password Algorithmes zoals deze en ook nog een stuk goedkoper dan secureID.
Waarom SecureID zo reageert is, aangezien het protocol van de openvarianten bekend is, me niet helemaal duidelijk. Je zou bijna gaan denken dat in hun algoritme een backdoor zit?

Voor Open Authentication (OATH) zie www.openauthentication.org.

[Reactie gewijzigd door worldcitizen op 18 maart 2011 13:57]

Nouja je moet altijd nog de seed weten en dus de exacte state van de machine die de key genereerde, dat is erg moeilijk te doen, het gokken van de CPU clock op afstand is bijna onmogelijk.
Dus RSA security is deels gebasseerd door obscurity?

Dan is het imho nooit betrouwbaar geweest.
RSA Security is een bedrijf, RSA wat jij bedoelt is een algoritme voor asymetrische encryptie. Aan die laatste is niets geheim en deze hack raakt dit ook helemaal niet.
Dus RSA security is deels gebasseerd door obscurity?

Dan is het imho nooit betrouwbaar geweest.
Strict gezien is alle crypto gebaseerd op obscurity: van de key. Zolang je die niet hebt kom je nog altijd nergens, als 't algoritme goed is.
Wat latka zei... plus dat er volledige open source implementaties zijn van het RSA algoritme, waardoor er dus niks van obscurity in kan zitten.
Dit gaat niet over het algoritme, maar over een bedrijfje dat blijkbaar z'n zaken niet op orde heeft.
Redelijk kritiek als hiermee de integriteit van alle RSA SecurID tokens geraakt wordt; met in het donkerste scenario de ondergang van RSA Security.
Nah, het principe is de one-time-pad en dat is niet te kraken (is sterker dan RSA als onderdeel van SSL). RSA Security doet veel meer dan deze tokens uitleveren.
Tja, op ongeveer de eerste pagina van ieder security-related boek is te vinden dat Security Through Obscurity een slecht idee is... Eigenlijk zou deze gegevensdiefstal dus helemaal geen issue mogen zijn...
Aan de andere kant, je wachtwoord hou je immers ook geheim - is ook obscurity. In feite is dit vergelijkbaar, alleen is het in dit geval het algoritme wat gebruikt wordt om een wachtwoord te genereren.
Het is mij niet duidelijk hoe de hack heeft plaatsgevonden. Is er ingebroken op de website en zo de achterliggende it-systemen binnengedrongen? Of maakt de software (Authentication Manager) contact met een ip-adres en is er zo toegang verkregen?

Deze link is duidelijker: http://www.theregister.co...reach_leaks_securid_data/
Attackers breached the servers of RSA and stole information that could be used to compromise the security of two-factor authentication tokens used by 40 million employees to access sensitive corporate and government networks, the company said late Thursday.

[Reactie gewijzigd door PcDealer op 18 maart 2011 12:50]

Gelukkig kennen ze bij RSA security wel het verschil tussen stelen en het extracten (sic) van informatie / data...
Een nieuwssite voor en door IT'ers zou toch wel het verschil mogen weten.
Je hebt altijd nog je eigen wachtwoord erbij dus : eigen ww( is vast) + cijfers van token.

Dus het is nog niet zo erg.
Beetje kort door de bocht. Misschien zit hun product wel gaar genoeg in elkaar dat als je weet hoe het werkt, dat je het ww kunt achterhalen als iemand 2x het token gebruikt ofzo. Of het wel of niet erg is kun je pas uitspraken over doen als je weet hoe het technisch in z'n werk gaat.
Ik weet niet of het erg is, maar een beveiligingsbedrijf waarvan hun tokens gehacked zijn lijkt me toch wel redelijk vervelend, ze pretenderen alles veilig te doen dus gehacked worden redelijk compromiterend.

ben benieuwd wat rsa hier mee gaat doen, of ze alles gaan vervangen, want een update op je token wordt een beetje lastig volgens mij.
Er was een cyberaanval op de website van RSA. Dit is ook de reden dat er al een aantal dagen geen offertes voor verlenging support opgevraagd konden worden en geen bestellingen geplaatst. Inmiddels is de site weer in de lucht.

[Reactie gewijzigd door PcDealer op 18 maart 2011 14:12]

Op dit item kan niet meer gereageerd worden.



Apple iOS 10 Google Pixel Apple iPhone 7 Sony PlayStation VR AMD Radeon RX 480 4GB Battlefield 1 Google Android Nougat Watch Dogs 2

© 1998 - 2016 de Persgroep Online Services B.V. Tweakers vormt samen met o.a. Autotrack en Carsom.nl de Persgroep Online Services B.V. Hosting door True