Thema: SecurID ...

[SiLæncer]

Laut einem Posting auf Bugtraq enthält der Web Agent der Authentifizierungslösung RSA SecurID eine kritische Lücke, mit der ein Angreifer ein System unter seine Kontrolle bringen kann. Ursache des Problems ist ein Buffer Overflow auf dem Heap, der bei der Verarbeitung zu langer Datenblöcke (Chunks) auftritt. Genauere Angaben macht der Entdecker der Schwachstelle, Gary O'leary-Steele von Sec-1, nicht. Laut Advisory sei es ihm aber gelungen, über das Netzwerk Code in ein Windows-2000-System mit installiertem IIS zu schleusen und auszuführen. O'leary-Steele hat den Proof-of-Concept-Exploit, der eine Backdoor öffnet, bislang nur dem Hersteller RSA zukommen lassen und will diesen auch nicht veröffentlichen. Er sei aber bereit, den Code anderen Sicherheitsdienstleistern zum Test zur Verfügung zu stellen.

Betroffen sind RSA SecurID Web Agent 5, 5.2 und 5.3. Der Hersteller hat bereits einen Patch herausgegeben, den registrierte Kunden über RSAs Web-Seiten herunterladen können. RSAs SecurID-Lösung ergänzt die mehr oder minder unsichere Authentifizierung mit Passwörtern um minütlich wechselnde Zahlenkombinationen, die ein sogenannter Passcode-Token generiert. So reicht ein ausgespähtes Kennwort für einen Angriff nicht mehr aus. Unter anderem bietet AOL seinen amerikanischen Kunden diese Technik für sichere Logins an.

Quelle und Links : http://www.heise.de/newsticker/meldung/59355

[SiLæncer]

Der EMC-Tochter RSA sind Daten gestohlen worden, darunter auch Informationen, die die Zwei-Faktor-Authentifizierung SecurID betreffen. Es bestehe die Gefahr, dass die Effektivität von SecurID dadurch gemindert werde, räumt RSA ein.

In einem offenen Brief an seine Kunden weist RSA auf einen sehr ausgeklügelten Angriff auf die eigene IT-Infrastruktur hin, bei dem auch Daten entwendet wurden. Die Angreifer hätten dabei auch auf Daten zur Zwei-Faktor-Authentifizierung SecurID zugegriffen. Allein mit diesen Daten könne zwar kein SecurID-Kunde angegriffen werden, im Rahmen eines größeren Angriffs könne die Effektivität der Zwei-Faktor-Authentifizierung jedoch reduziert werden, so RSA.

Es gebe keine Hinweise darauf, dass die Sicherheit der Kunden gefährdet sei. Dennoch habe man sich für eine offene Kommunikation entschieden, damit Kunden ihre Systeme gegebenenfalls besser absichern könnten. Andere Produkte seien von dem Angriff nicht betroffen und auch Daten über Kunden und Mitarbeiter seien nicht in fremde Hände gelangt.

SecurID verspricht eine besonders hohe Sicherheit, denn Benutzer müssen zur Authentifizierung ein Passwort kennen und in Besitz seines Token sein. Der SecurID-Token in Form eines Schlüsselanhängers generiert minütlich einen Zahlencode, den der Server vorhersagen und somit prüfen kann. Es bedarf also zweier Faktoren für eine Authentifizierung: Einer der Faktoren ist etwas, das der Nutzer weiß (Passwort), der andere etwas, das er besitzt (Token).

Quelle : www.golem.de

[SiLæncer]

RSA hat in seinem Firmen-Blog Details zu dem vor rund zwei Wochen bekannt gewordenen Einbruch in seine Server veröffentlicht. Laut Uri Rivner, Leiter der Sparte "Consumer Identity Protection" gelang der Einbruch über eine Backdoor, die über infizierte Mails installiert wurde. Die Mails enthielten im Anhang eine Excel-Tabelle, in der wiederum eine präparierte Flash-Datei eingebettet war. Beim Öffnen der Tabelle startete der Flash Player zum Abspielen das Flash-Applets. Durch einen mittlerweile von Adobe beseitigten Fehler war es möglich, Code in das System einzuschleusen und zu starten. F-Secure hat den Ablauf eines Angriffs beschrieben, bei dem der gleiche Exploit verwendet wurde.

Laut RSA wurden insgesamt zwei Varianten infizierter Mails mit dem Anhang "2011 Recruitment plan.xls" über zwei Tage an eine Gruppe von RSA-Mitarbeitern verschickt, wovon einer die Mail aus seinem Spam-Ordner herausholte und öffnete. Mit dem Exploit installierten die bislang unbekannten Angreifer das hinlänglich bekannte, frei verfügbare "Fernwartungstool" Poison Ivy. Mit dem Tool gelang es dann, Zugangsdaten zu Servern auszuspähen, sich dort anzumelden und (durch weitere Schwachstellen) an höhere Rechte zu gelangen. So arbeiteten sich die Eindringlinge allmählich vor, bis sie schließlich auf die für sie interessanten Systeme Zugriff hatten.

Dort sammelten die Täter Daten und kopierten sie auf andere Server im internen Netz, wo sie die Informationen zusammenfassten, komprimierten, verschlüsselten und auf einen externen FTP-Server luden. Der Angriff erinnnert an den Google-Hack Anfang 2010, bei dem Angreifer eine Lücke im Internet Explorer zur Installation einer Backdoor ausnutzten und sich dann bis zu Googles Single-Sign-On-System vorarbeiteten.

RSA macht aber weiterhin keine Angaben, welche Daten konkret ausgespäht wurden und ob etwa die sogenannten Seeds und Seriennummern der SecurID-Tokens nun in den Händen der Täter sind. Mit den Seeds ließen sich die ständig wechselnden OTPs berechnen. Fest steht nur, dass der Vorfall die Sicherheit der Tokens zumindest "beeinträchtigt". Sicherheitsspezialisten vermuten mittlerweile jedoch das Schlimmste und gehen davon aus, dass SecurID-Tokens gar keine Sicherheit mehr bieten und das System als geknackt angesehen werden muss. Dafür sprechen auch die Empfehlungen (PDF) von RSA an seine Kunden, alle Maßnahmen zu ergreifen, damit Angreifer nicht auch noch an Anwendername und PIN der Tokens gelangen. Zudem sollen Kunden ihre Infrastruktur genauer überwachen, um verdächtige Aktivitäten schneller erkennen zu können.

Quelle : www.heise.de

[SiLæncer]

Der Diebstahl sicherheitsrelevanter Informationen über das 2-Faktor-Authentisierungssystem SecurID von RSA hat weitreichendere Folgen, als der Hersteller zunächst zugeben wollte: Knapp drei Monate nach dem Vorfall beginnt RSA nun mit dem Austausch der rund 40 Millionen Hardware-Tokens. Dies gab RSA-Chairman Arthur W. Coviello in einem offenen Brief bekannt. SecurID ist eines der ältesten Systeme für Zweifaktor-Authentisierung zur sicheren Anmeldung an Rechnern und den meisten als Hardware-Token bekannt, der alle 60 Sekunden ein One-Time Password (OTP) generiert. Es sollen weltweit 40 Millionen Token bei Angestellten in Unternehmen im Einsatz sein, dazu kommen Schätzungen zufolge 250 Millionen Software-Versionen etwa auf mobilen Geräten.

Bereits kurz nach dem Einbruch warnte RSA, dass der Vorfall zwar Einfluss auf die Sicherheit des Systems haben könne, sich jedoch nicht für einen direkten Angriff eignen würde. Welche Daten genau entwendet wurden, wollte RSA jedoch auch auf Nachfrage von heise Security nicht bekannt geben. Gegenüber ars technica erklärte Coviello nun, dass RSA damals nicht das volle Ausmaß der Katastrophe bekannt gegeben hat, da dies den Hackern gezeigt hätte, was sie mit den gestohlenen Daten anfangen könnten.

Der Austausch lässt darauf schließen, dass bei dem Angriff sowohl sämtliche Seeds als auch die zur Berechnung der One-Time Passwords (OTP) nötigen Algorithmen entwendet wurden. Die neuen Tokens sind vermutlich schlicht mit Seeds ausgestattet, die noch nicht im Besitz der Kriminellen sind.

Coviello geht davon aus, dass die Kriminellen die Daten über SecurID wahrscheinlich gezielt gestohlen haben, um sich damit Zugang zu Militärgeheimnissen zu verschaffen. RSA hat die Tokens in Regierungseinrichtungen und Rüstungsunternehmen daher bereits ausgetauscht. Er bestätigte zudem, dass die erbeuteten Informationen beim Angriff auf das US-Rüstungsunternehmen Lockheed Martin genutzt wurden.

Quelle : www.heise.de

[SiLæncer]

Die beiden Lenker von RSA, Art Coviello (Chairman) und Tom Heiser (President), nutzten ihre jeweiligen Eröffnungsansprachen zur RSA Conference in London, um Einzelheiten der Angriffe im März zu erläutern. Coviello sagte, dass es sich beim Angreifer um einen Staat handeln müsse. Der Angriff sei zu ausgefuchst, als dass andere Angreifer in Frage kämen. Es lägen aber nicht genügend Belege vor, um einen bestimmten Staat auszumachen. Außerdem sei man auf zwei verschiedene Gruppen gestoßen, die hinter dem Angriff stecken. Beide Gruppen waren den Ermittlungsbehörden zuvor bekannt gewesen – aber nicht, dass sie zusammen arbeiten.

Klar wurde auch, dass RSA nicht das eigentliche Ziel der Angriffe war. Vielmehr ging es darum, die gestohlenen Infos für weitere Attacken auf andere Unternehmen zu nutzen. Coviello besteht weiterhin darauf, dass kein erfolgreicher Angriff mit den geklauten RSA-Daten möglich gewesen sei. Der Angriff auf Lockheed-Martin war wohl eine Folge des RSA-Hacks, wurde aber rechtzeitig abgewendet. Welche Art Information bei RSA ausgespäht wurden, wollten die RSA-Manager mit Verweis auf die andauernden Ermittlungen nicht verraten. Coviello sagte nur zum wiederholten Mal, dass lediglich Teile der Informationen rund um SecurID das Unternehmen verließen. Dennoch tauschte das Unternehmen im Juni rund 40 Millionen Tokens bei Kunden aus.

RSA selbst wurde sehr wahrscheinlich durch eine gezielte Phishing-Attacke auf einen Mitarbeiter in der Personalabteilung gehackt. Im Anhang einer E-Mail war eine Excel-Tabelle, die wiederum eine Zero-Day-Lücke in Adobe Flash missbrauchte. Diese Informationen bestätigt RSA offiziell jedoch nicht. Bekannt wurde aber, dass die verwendete Schadsoftware erst wenige Stunden vor dem Angriff kompiliert wurde und bislang nicht gekannte Techniken zum Komprimieren und Verschlüsseln der geklauten Daten verwendete.

Tom Heiser entschuldigte sich bei den Kunden, die gleichzeitig mit dem Rest der Welt vom Einbruch in Kenntnis gesetzt und somit unangenehm überrascht wurden. Der RSA-Chef sagte, dass man wenige Stunden, nachdem der Angriff entdeckt wurde, an die Öffentlichkeit ging. Erst danach gab es einzelne Gespräche mit den wichtigsten der mehr als 17.000 RSA-Kunden.

Offenbar wollte das Unternehmen vermeiden, dass während der Einzelgespräche Informationen nach außen dringen. Daher entschied man sich wohl für die Flucht nach vorne, die von einer Menge Kunden kritisiert wurde. Heiser erzählte von einem Treffen mit dem CIO eines Medizingerätehersteller, wenige Wochen nach dem Hack: "Der CIO war wirklich sauer. Das war kein angenehmes Gespräch, das kann ich Ihnen sagen.“

Quelle : www.heise.de