Хакеры получили доступ к серверам RSA и украли информацию, которая может быть
использована для подрыва безопасности двухфакторной системы авторизации,
используемой более чем 40 миллионами сотрудников для доступа к важным
корпоративным и правительственным сетям, объявила компания в четверг.
"В результате расследования у нас есть все основания полагать, что это была
APT (Advanced Persistent Threat) атака", - сообщил исполняющий обязанности
председателя RSA Арт Ковиелло в письме, опубликованном на официальном сайте
компании. "Наше расследование также показало, что в результате атаки были
потеряны некоторые данные".
Однако ни в письме, ни в отчете Securities and Exchange Commission не
говорится о том, какая же конкретно информация была утеряна. При этом Ковиелло
отметил, что она "может быть использована для снижения эффективности
используемой на данный момент двухфакторной системы аутентификации и организации
в дальнейшей более масштабной атаки".
Майкл Галлант, представитель компании EMC, являющейся владельцем RSA,
отказался ответить на вопросы, связанные со взломом.
Среди прочих вопросов остается неизвестным, получили ли злоумышленники доступ
к генераторам случайных чисел, которые система идентификации SecurID использует
для создания шестизначных чисел, меняющихся каждые 60 секунд. Работники как в
частной индустрии, так и в правительственных агентствах используют данный
механизм в качестве дополнительных мер безопасности во время входа в сеть своих
работников. Обязательное использование сотрудниками аппаратного ключа может
защитить от хакеров, которые, возможно, уже перехватили пароли пользователей.
Если хакерам удалось получить доступ к генераторам для определенных компаний,
то они, по всей видимости, могут генерировать пвседо-случайные числа, что
позволит обойти серьезное препятствие на пути взлома систем безопасности
компаний.
Также существует вероятность того, что злоумышленники попытались украсть
исходные коды, что даст им список всех уязвимостей, которые можно использовать.
Помимо этого не исключена кража криптографических ключей, которые позволят
хакерам имитировать сервера RSA или регистрировать токены новых пользователей.
"RSA конечно постарается убедить людей в том, что их система исправно
работает", - сообщил Ник Оуэн, директор Wikid Systems, компании конкурента RSA.
"Это значит, что им придется рассказать всю правду о проведенной атаке. Возможно
им также придется выдать пользователям новые аппаратные токены".
Оуэн отметил, что объявление компании RSA совпало с тем, что один из сайтов
компании по активации лицензий на ПО прекратил свою работу по непонятным
причинам. Пока не известно, связано ли падение сайта с атакой.
В письме Ковиелло сообщалось, что системы безопасности компании недавно
обнаружили "чрезвычайно сложную атаку, направленную на RSA". Подобное описание и
ссылка на APT говорит о вероятности того, что атака могла длится дни, недели и
даже месяцы. Так или иначе, компания по этому поводу не распространялась. Они
также припомнили атаки, выявленные Google в прошлом году, которые подорвали
безопасность десятков компании и в результате которых были потеряны важные
данные.
Подобная неопределенность уже вызвала бурную критику со стороны специалистов
безопасности.
"APT: Да, нас поимели, украли все ваши данные", - иронически перефразировал
письмо Ковиелло в Твиттере специалист по безопасности веб приложений Майк Бейлей.
Он также передразнил Ковиелло написав: "Сорри конечно, но этот парень просто
КРАСАФЧИК".
RSA разослали пользователям письма, рекомендующие следовать правилам
безопасности, таким как установление сложных паролей, тщательная проверка всех
носителей, требование от своих сотрудников игнорировать подозрительную почту, а
также "ужесточение, строгое наблюдение и ограничение удаленного или физического
доступа к инфраструктурам, размещающим важное ПО безопасности".