Nieuws

RSA token-aanval op Lockheed-Martin

maandag 30 mei 2011, 13:48 door Redactie, 5 reacties

De aanvallers die eerder bij beveiligingsbedrijf RSA wisten in te breken, zitten mogelijk ook achter de aanval op het Amerikaans defensiebedrijf Lockheed-Martin vorige week. Dat stelt blogger Robert Cringely. Lockheed-Martin gebruikt SecureID tokens van RSA voor de twee-factor authenticatie voor remote VPN-verbindingen naar het bedrijfsnetwerk. Vorige week zondag werd de remote toegang tot het interne bedrijfsnetwerk voor een week afgesloten. Verder kreeg iedereen een nieuw RSA SecureID token en moeten de meer dan honderdduizend werknemers hun wachtwoord wijzigen. "Wat betekent dat waarschijnlijk adminbestanden zijn gecompromitteerd", aldus Cringely.

"Het lijkt er op dat degene die het RSA netwerk hackte, het algoritme voor de huidige tokens bemachtigde en vervolgens een keylogger wist te installeren op één of meerdere machines bedoeld voor het benaderen van het intranet. Met deze twee gegevens wisten ze vervolgens toegang tot het interne netwerk te krijgen."

Wachtwoord
Lockheed-Martin zou na de RSA-aanval een tweede wachtwoord voor personeel hebben vereist dat op afstand probeerde in te loggen. "Maar dat helpt niet tegen een keylogger-aanval." Volgens Cringely is een geraffineerde aanval als deze lastig te detecteren. "Er zullen vanwege dit incident veel naschokken in de IT-wereld zijn", zo voorspelt hij.

"We weten niet wat ze bij Lockheed zochten", zegt James Lewis van het Centrum voor Strategische en Internationale Studies. "Een mogelijkheid is dat het een staat is, maar het kunnen ook criminelen zijn die de klanten van het bedrijf proberen aan te vallen." Zowel RSA als Lockheed wilden niet op het incident reageren.

"Zwakke Mac-gebruiker moet virusscanner"

Porno-knop beschermt IE tegen cookiemonsters

Reacties (5)

30-05-2011, 15:28 door Anoniem

Je zou verwachten dat het bij een betrouwbare onderneming als RSA niet uit maakt als de tegenstander het algoritme van je tokens weet, toch? Net als dat de OV-chipkaart eigenlijk een open ontwerp had moeten hebben? Kerckhoff's principle??

Moeten alle tokens van RSA nu worden vervangen door nieuwe exemplaren met een nieuw algoritme? Lijkt mij heel slechte PR voor RSA. Maar nog slechter als ze zoiets negeren en er nog meer bedrijven gehackt gaan worden!

30-05-2011, 17:30 door Anoniem

De encryptie zelf is nooit een geheim geweest, maar als ik me niet vergis zijn er een aantal aspecten die wel specifiek zijn per token. Vraag me wel niet wat :)

Voor de rest vind ik dit vooral een slecht verhaal voor RSA, nl hun product, hun tokens worden gebruikt voor het compromiteren van een netwerk, dit is geen goed nieuws voor RSA...

30-05-2011, 21:23 door Anoniem

Niemand van RSA die dit gaat bevestigen, maar de vermoedens zitten in de richting van de seed-files. Heb je de seed+tokennummer+userid/bedrijf valt die authenticatie factor dus gewoon weg. Als je goed naar de aanbevelingen kijkt (door de bril van de duivel) van RSA wordt dit vermoeden alleen maar versterkt.

http://www.computerweekly.com/Articles/2011/03/18/245979/RSA-issues-security-tips-to-SecureID-customers-after-data.htm

Met name :

- Enforce strong password and pin policies (Daar hadden we toch RSA/OTP voor?)
- Increase focus on security for social media applications and the use of those applications and websites by anyone with access to their critical networks (kwetsbaar voor phishing attacks? daar hadden we toch RSA/OTP voor ?)
- Re-educate employees on the importance of avoiding suspicious emails, and remind them not to provide user names or other credentials to anyone without verifying that person's identity and authority (nogmaals phishing?)
- Examine helpdesk practices for information leakage that could help an attacker to perform a social engineering attack (phishing dus of social engineering in het algemeen wat alleen zin heeft als je iemand zijn token niet nodig hebt)

31-05-2011, 14:16 door Anoniem

En de nieuwe RSA tokens die men weer met veel tijd/moeite en dus kosten moeten uit rollen zijn weer met seed files geladen door RSA? Dan blijft het risico voor de eind klant bestaan dat deze weer op straat komen liggen.

Meer dan 20 jaar biedt CRYPTOCARD de klanten de mogelijkheid zelf de seedfiles te genereren en te laden op de tokens.
Buiten de flexibiliteit die dit biedt levert het een hogere mate van security, immers er ligt geen copy van die seedfile database bij de fabrikant.

Rob Buddingh'

31-05-2011, 15:48 door [Account Verwijderd]

[Verwijderd]

Reageren

Deze posting is gelocked. Reageren is niet meer mogelijk.

Bitcoin:

Vacature

Junior DevOps Engineer

Certified Secure is op zoek naar een Junior DevOps Engineer. Deze functie is een stuk interessanter dan de term doet vermoeden! Om jou als potentiële nieuwe collega meteen te laten zien wat we doen hebben we speciaal voor jou een selectie gemaakt van een aantal leuke security challenges. Are you ready for a challenge?

Lees meer

Vacature

Cybersecurity Trainer / Streamer

Toe aan een nieuwe nieuwe job waarmee je het verschil maakt? In de Certified Secure trainingen laat je deelnemers zien hoe actuele kwetsbaarheden structureel verholpen worden. Ook werk je actief mee aan de ontwikkeling van onze gamified security challenges. Bij het maken van challenges kom je telkens nieuwe technieken tegen, van Flutter tot GraphQL, van Elastic Search tot Kubernetes.

Lees meer

Ik moet ineens mijn portret in mijn Office 365 account stoppen, mag dat?

13-11-2024 door Arnoud Engelfriet

Juridische vraag: Ik werk in de publieke sector bij een organisatie die tussen 500-1000 medewerkers heeft. Vandaag werden wij ...

33 reacties

Lees meer