RSA Security заменит каждый из 40 миллионов токенов SecurID, используемых
сейчас, из-за атаки атаки
хакеров, произошедшей в марте. Подразделение EMC наконец выпустило письмо
для клиентов в котором объясняет, что SecurID не удалось защитить корпорацию
Lockheed Martin, которую
пытались взломать в прошлом месяце.
SecurID - токен, который используется при двухфакторной аутентификации.
Каждый пользовательский аккаунт привязан к токену, каждый токен генерирует
псевдослучайное число, которое меняется периодически, обычно каждые 30 или 60
секунд. Для входа в компьютерную систему пользователю необходимо ввести не
только имя и пароль, но и число, которое показывает токен в текущий момент.
Сервер аутентификации знает какой токен какое число должен показывать в эту
секунду и таким образом может определить подлинность владельца имени и пароля.
Последовательность чисел, генерируемых токеном, определяется секретным
алгоритмом RSA и секретным начальным значением, используемым для инициализации
токена. Каждый токен имеет свое начальное значение инициализации и именно оно
связано с пользовательским аккаунтом. Если алгоритм и начальное значение
попадают в руки хакеров, то сам токен становиться практически бесполезен - число
для авторизации можно просто вычислить, точно так же, как это делает сервер
аутентификации.
Нынешнее признание RSA противоречит начальным заявлением о том, что
взлом не позволит выполнить
"прямые атаки" на SecurID, полная замена всех токенов фактически означает
признание того, что в настоящий момент они не обеспечивают той безопасности,
которую клиенты предполагают. Источники внутри RSA говорят о том, что в
результате мартовского
взлома компания потеряла базу начальных значений, а алгоритм и так был
известен ранее.
Результат - токены SecurID не способны защитить от хакеров, по крайней мере
от тех, которые осуществили взлом RSA в марте. Для них SecurID не больше, чем
несложное дополнение простой парольной аутентификации, уязвимой ко всем
кейлоггерам и повторному использованию паролей.
Глава RSA Security Арт Ковьелло отметил, что RSA не выступила с заявлением
ранее потому, что опасалась подсказать хакерам пути для дальнейших атак. Однако
очевидно, что хакеры, стоявшие за атакой Lockheed Martin, уже и так знали о том,
как обойти технологии RSA и таким образом компания лишь дезинформировала
клиентов о безопасности своих продуктов и рисках, с которыми они могут
столкнуться.
RSA сейчас работает с другими клиентами, которые думают, что были атакованы с
применением техник, полученных в результате компрометации SecurID, однако пока
не называет конкретных имен. По слухам Northrop Grumman и L-3 Communications
столкнулись с такими проблемами, а вторая компания даже
закрыла все удаленные
соединения со своей сетью на прошлой неделе.