Alle veertig miljoen gebruikers van RSA SecurID authenticatie-tokens krijgen een nieuwe. Dit maakt de leverancier, een dochteronderneming van dataopslagspecialist EMC, bekend nadat hackers begin maart via een inbraak op het bedrijfsnetwerk van RSA informatie hebben ontvreemd over de SecurID authenticatie-producten.
Beveiligingsbedrijf RSA heeft in een open brief eindelijk toegegeven dat hackers door in te breken in servers begin maart 2011 informatie hebben ontvreemd over RSA SecurID authenticatie-tokens. De SecurID-toepassing genereert elke dertig seconden een nieuwe rsa-sleutel, waarna via ‘two-factor authenticatie (2FA)' (tweetraps-authenticatie) een veilige internetverbinding wordt opgezet. De recente hack van beveiligingsleverancier RSA vond zijn oorsprong in een ongepatchte kwetsbaarheid in de Adobe Flash Player. Alle veertig miljoen tokens die wereldwijd in gebruik zijn worden nu vervangen voor nieuwe tokens.
Art Coviello, ceo van RSA, zegt in de open brief dat een nieuwe uitgave van tokens nodig zijn om klanten geheel te kunnen beschermen tegen hackers en andere online gevaren. RSA werkt inmiddels nauw samen met overheden en bedrijven om zo snel mogelijk de RSA-tokens te gaan vervangen. RSA Security heeft ongeveer 40 miljoen SecureID-hardwaretokens en 250 miljoen softwaretokens wereldwijd aan klanten geleverd.
Lockheed Martin
Er zijn al gevallen bekend dat bedrijven, die de RSA SecurID authenticatie-producten gebruiken, last hebben van hackers. Zo liet de Amerikaanse vliegtuigbouwer en defensiebedrijf Lockheed Martin, weten dat zijn werknemers in mei 2011 last handden van cyberaanvallen. Andere bronnen zeggen dat defensiebedrijf Northrup Grumman en telecomnetwerkaanbieder L3 Communications, die ook beiden RSA-tokens gebruiken, last hadden van cyberaanvallen. Deze online aanvallen lijken zich dus vooral te richten op informatie over Amerikaanse defensiesystemen.
Overeenkomsten
Beveiligingsspecialisten zien sterke overeenkomsten tussen de bovenvermelde inbraken en een serie cyberaanvallen vanuit China, die zijn beschreven in recente uitgelekte telegrammen van het Amerikaanse ministerie van Buitenlandse Zaken. De beschreven aanvallen vonden de afgelopen vijf jaar plaats en zouden zijn uitgevoerd in opdracht van de Chinese regering, met het doel Amerikaanse commerciële en staatsgeheimen te achterhalen.
Ja, eigen schuld ik werk zelf bij een Fins software bedrijf () en als ik naar Nederlandse bedrijven ga om mijn producten en software te positioneren dan kijken ze me glazig aan, want dat kennen ze niet, Nee blijf maar lekker bij de grote amerikaanse fabrikanten je IT spullen kopen want daar richten de Hackers zich op. Terwijl een kleinere speler vrijwel onbekend en onbemind is, zowel bij de Hackers alswel de ondernemingen.
Toch denk ik dat RSA nog steeds als veilig beschouwt kan worden. In het artikel spreken ze alleen een toename van het aantal cyberaanvallen. Er wordt echter niet gesproken over de aangerichte schade. Ik kan niet herleiden of hackers uberhaupt toegang gekregen hebben tot systemen of hebben ze alleen maar geprobeerd om toegang te krijgen?
Het mechanisme voor het genereren van de tokencodes is achterhaald. Hierdoor zou iemand dus een nieuwe tokencode kunnen “voorspellen”. Indien RSA echter op de juiste manier wordt geimplementeerd heeft een hacker niks aan het “voorspellen” van een tokencode. In de meeste gevallen dient naast een tokencode ook nog de gebruikersnaam, het wachtwoord en de PIN code voor het token achterhaald te worden.
Als je binnen de interne gebruikersomgeving (AD/NDS en RSA) een goede wachtwoord policy hebt, dan ben je mijns inziens nog altijd goed beveiligd. Het wordt pas een risico als je achter een pc zit met een keylogger. Dan worden namelijk alle gegevens achterhaald.
Hoe dan ook, er zijn nog genoeg organisaties die enkel gebruikersnaam en wachtwoord gebruiken zonder enige vorm van 2FA.
Maar het is toch rechtuit schunnig dat een bedrijf dat zich 100% richt op het beveiligen van zijn klanten zo lang wacht met het dichten van het beveiligingsgat. Ze weten dat er begin maart informatie is ontvreemd en pas in juni ondernemen ze actie. Dus al die tijd (ook duidelijk uit de Cyberaanvallen) lieten ze bewust een gat in de beveiliging zitten en gaan ze pas over tot vervanging nadat ze door publicatie niet anders meer kunnen.