RSA har blivit hackat.
RSA, företaget - inte algoritmen, har precis blivit hackade.Företaget EMC, som äger dotterbolaget och varumärket RSA har en allmän varningssida uppe på förstasidan av sin webb där de talar om hur riktad och avancerad attacken varit (givetvis buzzwordet APT) och att en av konsekvenserna av attacken är att inkräktarna kommit över information relaterad till deras token SecurID:
"Our investigation also revealed that the attack resulted in
certain information being extracted from RSA's systems.
Some of that information is specifically related to RSA's
SecurID two-factor authentication products."
samt
"While at this time we are confident that the information extracted
does not enable a successful direct attack on any of our RSA SecurID
customers, this information could potentially be used to reduce the
effectiveness of a current two-factor authentication implementation
as part of a broader attack."
Det sägs inget närmare vad som stulits - specifik företagsintern information om själva produkten såsom källkod, designdokument, sårbarhetsutredningar. Eller kundspecifik information - vem som köpt vilka dosor, vilka serienummer och "seeds" de har. Bägge kategorierna är var och en för sig riktigt dålig, men kombinationen blir explosiv.
Man måste ju också ta sig en funderare på att det är en så högt uppsatt företagsrepresentant som uttalar sig, och att han pekar på att inga andra delar av koncernen eller produktportföljen är påverkade. Det är ju den förväntade hållningen och det förväntade meddelandet.
Om man i sin organisation använder RSA-dosor (det är en populär produkt, så många gör det) så lär det, förutom att snacka med sin EMC/RSA-representant (som kommer med snömos?), vara läge att skaffa mer information, bättre förstå när/var/hur SecurID används av organisationen samt göra någon egen konsekvensanalys och ev. jobba fram temporärlösningar.
Det är läge att påminna om 10 saker:
- Saker och ting är fortfarande i sin linda. Mer information lär komma ut framöver som ändrar på antaganden, påståenden, analyser och löften.
- Det här är en incident där det snabbt lär förekomma många rykten, vinklingar, spekulationer, falsarier och elaka kommentarer. Som observatör eller drabbad produkt/tjänsteanvändare gäller det att hålla huvudet kallt och försöka extrahera korrekt information och riktiga nyhetsbitar.
- Läs och gå igenom avtalstext, SLA, utfästelser etc som ni har med återförsäljare och leverantörer. Vilket stöd kan ni räkna med från dem? Ersättningsprodukter, kompensatoriska säkerhetsfunktioner, fri konsulttid för att göra "impact analysis"?
- SecurID finns i både hårdvaru- och mjukvaruvariant. En konsekvensanalys får inte glömma den andra varianten. Mjukvaruvarianten kan dessutom finnas inbäddad i andra produkter, som man missar vid en f&rouml;rsta inventering.
- Vet ni verkligen var SecurID används? Internt? För extern åtkomst? Hos leverantörer som tillhandahåller drifttjänster där er data behandlas? etc
- EMC/RSA pratar bara om SecurID. Men vad vet vi egentligen om ifall även andra delar av företaget och andra av företagets produkter kan vara drabbade. Elektronisk certifikatfabrik, katalogtjänst och spärrlisthantering? Storage? Logghanteringsprodukter? Data Loss Preventionprodukter som blivit bakdörrade? etc
- Det står inget närmare om var spår av intråget upptäcktes, när intrånget upptäcktes, hur länge det beräknas ha pgågått, etc. Så det finns stora osäkerheter runt exakt vad som hänt och vilka konsekvenser det i realiteten kan skapa.
- Som alltid så är det läge att observera och lära av andras framgångar och misstag - Hur kommer EMC lyckas i sin krishantering? Hur fungerar mediahantering och kriskommunikation? Hur hanterar de återförsäljarled och kunder? Vad kan du själv dra för paralleller till andra produkter och tjänster ni installerat eller nyttjar - hur skulle en motsvarande incident påverka andra (RSA konkurrenternas) tokens, skraplotter, SMS-lösenord, mjuka certifikat, certifikatutgivare eller liknande?
- Om saker och ting gär riktigt dåligt, hur ersätter man bastjänster såsom autentiseringsmekanismer snabbt, enkelt och billigt. Eller gör man inte det?
- Försvar i djupled. Som alltid så får inte skydd bygga på enstaka barriärer. Förstärkt autenticering är inget undantag. Om SecurID används tillsammans med vanlig autentisering och transportskydd (SSH, SSL, IPsec), så borde det i alla fall inte vara raka vägen in.
I sin officiella anmälan till SEC (tillsynsmyndighet) tror sig EMC att skadan inte kommer påverka företaget finansiellt. Det återstår nog att se.
För att läsa hela varningsmeddelandet, se
här
För att läsa EMC:s info till SEC, se
här
----
Written by Robban @ 2011-03-18