RSA: aanval op SecurID kwam van twee groepen hackers

De aanval op systemen van RSA waarbij informatie over de werking van SecurID-sleutelgenerators werd buitgemaakt, is terug te voeren op twee groepen. Dat stelt RSA-topman Art Coviello. Een regering zou achter de aanval zitten.

De hack op systemen van RSA in maart is terug te leiden naar twee groepen, stelt Art Coviello, die de dagelijkse leiding over het bedrijf heeft. Bij de aanval werd informatie over de werking van SecurID-sleutelgenerators buitgemaakt. SecurID-sleutelgenerators worden gebruikt voor two-factor-authentication, waarbij naast een wachtwoord ook een willekeurig gegenereerde cryptografische sleutel moet worden ingevoerd, en zijn er zowel in software- als in hardwarevorm. Op de RSA Conference in Londen, waar Tweakers.net aanwezig is, gaven Coviello en medetopman Tom Heiser meer informatie over de SecurID-hack.

De twee groepen zouden in opdracht van een staat hebben gehandeld. Volgens Coviello wijzen de ernst van de aanval en de 'verfijnde' manier waarop deze is uitgevoerd daarop, evenals de hulpmiddelen die de hackers tot hun beschikking hadden. Ook zou informatie van de Amerikaanse opsporingsdiensten wijzen op betrokkenheid van een buitenlandse regering. Coviello wil niet zeggen om welk land het zou gaan, maar al langer wordt vermoed dat de Chinese overheid achter de aanval zit.

De twee groepen zouden zijn geïdentificeerd door de manier waarop ze te werk gingen en zijn bekenden van de autoriteiten, maar het was nog niet bekend dat ze ook samenwerkten. "Bij de aanval hield de ene groep de andere de hand boven het hoofd", aldus Heiser. De aanval van de ene groep was 'zichtbaar aanwezig', terwijl de andere groep in het geheim zijn gang ging. De aanvallers zouden hebben geweten hoe het RSA-netwerk in elkaar zat.

Het is nog altijd onbekend welke informatie precies is buitgemaakt bij de aanval. Heiser en Coviello zeggen dat dat geheim blijft, onder meer omdat er nog een onderzoek loopt. Beiden willen ook niet aangeven hoeveel sleutelgenerators moesten worden vervangen na het beveiligingsincident. "Maar ik kan wel zeggen dat het een relatief klein aantal was", stelt Coviello. "En inmiddels zijn alle generators die moesten worden vervangen, ook daadwerkelijk vervangen." Eerder kwam juist in het nieuws dat een groot deel van de gebruikte tokens zou worden vervangen.

Volgens Heiser was RSA niet het doel van de aanval, maar een middel om ergens anders binnen te komen. De hackers zouden echter niet genoeg informatie hebben gehad om een aanval uit te voeren. "Er is slechts één aanvalspoging op een ander bedrijf geweest en die was zonder succes", stelt Heiser. Mogelijk gaat het om vliegtuigbouwer Lockheed Martin, die in mei met beveiligingsproblemen kampte en externe toegang tot zijn netwerk uitschakelde.

"Bij de aanval werden twee phishing-mails gebruikt om binnen te komen bij het bedrijf", zegt Heiser. Het was al bekend dat phishing werd gebruikt om binnen te komen; beveiligingsbedrijf F-Secure claimde de hand te hebben gelegd op het desbetreffende mailtje. De hackers hadden volgens F-Secure een Excel-bestand met een malafide Flash-object gebruikt om binnen te komen. RSA geeft enkel toe dat een Excel-bestand is gebruikt.

RSA kreeg van zijn klanten kritiek omdat het bedrijf direct nadat het lek werd ontdekt naar de media stapte. "Op dat moment was dat echter de juiste beslissing", zegt Heiser. Klanten zeiden liever vooraf te zijn ingelicht, maar dat zou een ondoenlijke operatie zijn geweest. "We hebben tienduizenden klanten", aldus de topman.

RSA Security SecurID

IT-banen

Reacties (21)

Verwijderd 11 oktober 2011 15:12

Sorry hoor, de afgelopen maanden zijn hordes mensen gevallen over bedrijven die verzwegen dat ze aangevallen waren. Nu een bedrijf dat direct open kaart speelt, en dan is het weer niet goed.
De mensheid kan best vermoeiend zijn. Persoonlijk vind ik het een teken van karakter dat men zonder ommehaal op de pers afstapt en zegt: Joh, dit is er gebeurt. Al ik ooit in mijn leven zo'n systeem nodig heb, dan kunnen ze mij rekenen tot hun klantenkring.
Ik vind die directe stap naar de pers noemenswaardig en sterkt mijn gevoel van vertrouwen bij dit bedrijf.

n4m3l355 @Verwijderd • 11 oktober 2011 17:37

Ik vind het zelf eerder verwonderlijk. Een tijdje terug ging het in de Harvard Business Review over een bedrijf dat slachtoffer was geworden van hackers en hoe hiermee om te gaan. Een belangrijk gegeven hierin is dat bedrijven dit geheim diende te houden voor de nationale overheid in de VS voor een onderzoek. Het openbaren zonder toestemming kon zelfs tot een straf leiden. Ook is het nog eens zo dat voordat men weet wat de situatie is het publiceren in de VS vervelende rechtzaken tot gevolg kan hebben.
Dat een hack gebeurd is dan ook vaak pas een begin van vele problemen en hoe de verschillende regelgevingen hiermee omgaan weet ik niet maar het lijkt mij allemaal complexer dan hoe het nieuws de situatie kenbaar maakt. Dit typeert overigens dan ook eerder de kennis en kunde van de pers die naar mijn inziens zowieso veel herrie maakt zonder te weten waar het over gaat.

Verder leuk bericht maar wat is het nou verder? We weten enkel dus dat er mogelijkerwijs twee groepen actief waren die mogelijkerwijs wat kennis hebben vergaart. Ze laten zich niet uit wat er nou precies buit is gemaakt noch waar de aanvallen daadwerkelijk vandaan kwamen en enkel een kleine hint richting Lockheed dat zij slachtoffer zijn geworden. Persoonlijk zegt het me allemaal erg weinig.

Krokant 11 oktober 2011 15:02

Cyberwarfare... ik betwijfel dat we in de Benelux er zelfs in de verste verte op voorbereid zijn. De lachwekkende overheidsvacatures die je nu en dan ziet verschijnen voor politie & inlichtingendiensten bewijzen dat er nog veel werk aan de winkel is...

Batiatus @Krokant • 11 oktober 2011 17:04

De Nederlandse overheid is er in ieder geval al meer dan een jaar mee bezig. Vorig jaar tijdens de infosecurity beurs in Utrecht werd er een seminar gegeven over cybersecurity.

Hierin wordt beschreven dat er inmiddels een raad is opgesteld:
http://www.rijksoverheid....y-raad-geinstalleerd.html
En hier de presentatie:
http://www.slideshare.net...n-gijsbers-infosecuritynl

thegve @Batiatus • 11 oktober 2011 20:09

Meer dan een jaar is natuurlijk niets, en dat er een seminar word gegeven door een kennisgroepje, betekent ook niks.
En de link van de cyber security raad is van 30-6-2011, nog maar dik 3 maanden geleden.

Batiatus @thegve • 11 oktober 2011 22:25

Ik heb nergens beweert dat de raad een jaar geleden opgezet zou zijn. Daarbij komt dat de meneer die de seminar had gegeven (gijsbers) niet zomaar behoort tot een kennisgroepje. Ze hebben een afgezonderd netwerk gemaakt waarin tests worden gedraaid.

OT: Als ze RSA gehackt hebben, zullen de hackgroeperingen toch grotere plannen hebben. Vraag me vooral af wat ze allemaal willen gaan doen met de informatie die ze gestolen hebben.

Verwijderd @Batiatus • 12 oktober 2011 08:53

"SecurID-sleutelgenerators worden gebruikt voor two-factor-authentication, waarbij naast een wachtwoord ook een willekeurig gegenereerde cryptografische sleutel moet worden ingevoerd, en zijn er zowel in software- als in hardwarevorm."

Overigens is die gegenereerde sleutel alles behalve willekeurig. Voor willekeurige sleutels zou je namelijk ook gewoon een ouderwetse dobbelsteen kunnen gebruiken.

En aangezien deze slechts 6 cijfers lang is en om de minuut wisselt herhaalt deze code zich om de zoveel maanden. Het is dus te voorspellen wanneer de sleutel weer opnieuw langskomt lijkt me. Deze apparaatjes lopen zeer goed synchroon, want anders zou synchronisatie met de server ook niet echt goed werken. En deze tokens werken alleen met synchronisatie, dus kan er van willekeur geen sprake zijn.

Feitelijk kan ook deze vorm van beveiliging dus met een eenvoudige key-logger (die ook tijden registreert) en een paar maanden geduld eenvoudig gekraakt worden.

[Reactie gewijzigd door Verwijderd op 28 juli 2024 21:00]

toxicunderGroov @Krokant • 11 oktober 2011 15:18

Tja, de EU is zich aan het voorbereiden. De rest staat al lang en breed op het veld.

Niemand_Anders

Beveiliging

11 oktober 2011 15:06

Opvallend dat RSA roept dat het lastig is de klanten te informeren want bij het downloaden van onder andere de software token generator ben je verplicht de checkbox aan te vinken dat je product informatie wilt ontvangen.. En een 'nieuwsbrief' heb je naar je klanten zo verstuurd..

Maar de stap naar de media om het lek direct te melden vind ik wel een goede en kan ik vanuit een security oogpunt alleen maar toejuichen. Ook als dat bekend dat nog niet alle partijen hun SecurID systemen kunnen aanpassen of offline gooien..

HikariMisako

@Niemand_Anders • 11 oktober 2011 15:11

Een 'Nieuwsbrief' noem ik niet de klanten op de hoogte stellen, de meeste nieuwsbrieven komen in de spambox terecht of worden niet als belangrijk beschouwd.
Als je vervolgens een mail gaat sturen met als kop iets schreeuwerigs dat om aandacht vraagt, wordt het helemaal afgedaan als phishing. Klanten informeren houdt bij mij in dit geval toch echt een telefoontje in naar de grote bedrijven, wat ook veel tijd had gekost maar wel had gekund.

mancide 11 oktober 2011 15:16

Toch wel vreemd dat als er slecht een "relatief klein aantal" generators vervangen moet worden, ik ook een nieuwe gekregen heb...
Alles is natuurlijk 'relatief'

SED @mancide • 11 oktober 2011 16:26

Die opmerking is terecht want uit alles blijkt dat de kopie die RSA bewaarde ( en gezien hun systeem nog steeds zo werkt) van elke gegenereerde key gecompromitteerd is. Of ze alle kopieën in handen hebben gekregen weet niemand, of zullen we nooit weten.
Veel keys die vervangen moesten worden zaten op het einde van hun levensduur en het was tevens een mooie poging om klanten te binden na deze kwalijke inbraak.

luk3 11 oktober 2011 15:42

Destijds viel mij al op dat enkele dagen na de RSA hack een stukje verscheen over de hack op Lockheed Martin (worden hier ook die wapens niet ontwikkeld?).

Interessanter was het stukje wat enkele dagen later verscheen: http://www.theregister.co...31/hacking_as_act_of_war/

Deze link is toch niet al te ver gezocht?

AxzZzeL @luk3 • 11 oktober 2011 17:03

Lockheed Martin maakt ook gevechtsvliegtuigen en het lijkt me in een mogelijke oorlog niet fijn als die dingen met bosjes uit de lucht vallen of als HAL9000 ff'tjes de controle over neemt aangezien al dat spul via fly-by-wire werkt. Ok er zit een shitload aan beveiliging op die avionica maar 10000 regels code doorspitten om te kijken of iemand wat heeft gekraakt is ook een boel werk. Daarnaast raketten, wapensystemen en andere ongein wil je wel kunnen gebruiken en niet tegen je gebruikt zien worden. Cyberwarfare zal de komende eeuw een enorme rol gaan spelen vermoed ik, want wie de communicatie beheerst, beheerst het slagveld.

Iblies @AxzZzeL • 11 oktober 2011 23:48

Jij bent nog aan het wachten

http://www.wired.com/dang...0/virus-hits-drone-fleet/

“We keep wiping it off, and it keeps coming back,” says a source familiar with the network infection, one of three that told Danger Room about the virus. “We think it’s benign. But we just don’t know.”

Uiteindelijk toch verwijderd gekregen,
http://www.wired.com/dang...0/drone-virus-kept-quiet/
http://edition.cnn.com/20...-program-virus/index.html

maar het zet je wel aan het denken. Stuxnet was ook een virus waarvan beweerd wordt dat het geschreven is om Iraanse kerncentrales lam te leggen.
Gezien de besmettingsgraad in Iran en het specifieke doel is dat niet onaannemelijk.

Jammer genoeg beseffen nog te weinig mensen dat PC's en software niet veilig zijn,
het gaat sowieso altijd om duizenden regels code, de kans dat dat waterdicht is, dat bestaat gewoon niet. Daarnaast is de mens sowieso een zwakke schakel.
Er zijn er nog te veel die denken dat zo gauw de voordeur op slot is, ze niet bestolen kunnen worden, terwijl de dief allang al in huis is in vorm van een keylogger of andere vage software die ze per ongeluk hebben geïnstalleerd.

Verwijderd 11 oktober 2011 14:55

tja...in maart na berichtgeving hier gaf ik aan dat dit gebeurd was, dit werd gebagatelliseerd, in mei of begin juni kwam de Amerikaanse overheid met een verklaring en in juli was men bij 'ons" zover te erkennen dat er iets gebeurd was. Maar daarbij werd er vooral gewezen naar de eigen verantwoordelijkheid.

vanaalten 11 oktober 2011 15:13

Als je tienduizenden klanten hebt, zoals de RSA man zegt, en je zou ze vooraf inlichten, dan komt dat effectief op hetzelfde neer als direct de media inlichten. Een geheim delen met tienduizenden is een geheim openbaren.

toxicunderGroov 11 oktober 2011 15:14

Vraag me af hoe de genoemde overheid naar het westen kijkt. Mogelijke sancties of de vragen lijken ze niet relevant te vinden. Jammer dat er zo weinig openheid is omtrent dit soort dingen (en logisch) , lijkt me erg interessant om eens van die kant te horen wat ze beweegt.

T-men 11 oktober 2011 15:22

...omdat het bedrijf direct nadat het lek werd ontdekt naar de media stapte. "Op dat moment was dat echter de juiste beslissing", zegt Heiser.

Eindelijk een bedrijf dat de juiste weg van openheid bewandelt.

Respect ! $_/-\o_$

Ewald ! 11 oktober 2011 15:27

De twee groepen zouden in opdracht van een staat hebben gehandeld. Volgens Coviello wijzen de ernst van de aanval en de 'verfijnde' manier waarop deze is uitgevoerd daarop, evenals de hulpmiddelen die de hackers tot hun beschikking hadden.

Aan wat voor hulpmiddelen moet ik denken bij zo'n operatie? PC's met een breedbandverbinding heb je overal wel..

Op dit item kan niet meer gereageerd worden.

Lees meer

IT-banen

Reacties (21)

Sorteer op:

Weergave: