De cyberinbrekers zijn binnengekomen op de interne systemen van RSA. Daardoor is de betrouwbaarheid van RSA’s SecurID-tokens ondermijnd. De leverancier van security-producten heeft de hack bevestigd, maar stelt dat er geen informatie is buitgemaakt die succesvolle, directe aanvallen op SecurID-installaties mogelijk maakt.

“Deze informatie kan wel gebruikt worden om de effectiviteit van een huidige twee-factor authenticatie implementatie te verminderen, als onderdeel van een bredere aanval”, schrijft RSA-topman Art Coviello in een open excuusbrief aan klanten. Die organisaties en bedrijven wordt met klem aangeraden om hun beveiliging door te nemen, te versterken en te blijven monitoren.

China?

De leverancier vertelt dat het gaat om een zeer complexe aanval die stilletjes en stelselmatig is uitgevoerd. “Onze security-systemen hebben onlangs een zeer geavanceerde cyberaanval gedetecteerd, die werd ondernomen tegen RSA”, aldus Coviello. “We hebben een reeks aan agressieve maatregelen tegen die dreiging ondernomen”, meldt hij. Dat omvat het sterker beveiligen van de eigen it-infrastructuur, het onderzoeken van de aanval en het inlichten van de autoriteiten.

“Deze aanval valt onder de categorie Advanced Persistant Threat (APT).” Dat soort cyberaanvallen komen voor het grootste deel uit China, stelde securitybedrijf Mandiant in een rapport vorig jaar. Betrokkenheid – al dan niet direct - van de Chinese regering wordt in veel gevallen vermoed, maar kan niet worden bewezen.

SecurID

De detectie door RSA was echter aan de late kant, want nader onderzoek door het bedrijf wees uit dat er “bepaalde informatie is gestolen van RSA’s systemen”. De leverancier maakt niet bekend wat voor informatie dat is, maar zegt wel dat een deel van die buit specifiek betrekking heeft op de twee-factor authenticatieproducten SecurID.

Dat systeem voor beveiligde logins gebruikt hardware-tokens om authenticatiecodes te genereren. Elk token is uniek en geldt per gebruiker. Die krijgt van dat apparaatje op vaste tijden een nieuwe, random code die op hetzelfde tijdstip wordt gegenereerd door de RSA-serversoftware die de login verzorgt.

Eigen sleutels genereren

Als de hackers de cryptografische sleutels (seed records) voor de tokens hebben gestolen, kunnen ze eigen codes genereren. Dat zou een groot probleem zijn, zegt security-expert Thierry Zoller van Verizon Business tegen Webwerelds zustersite CIO.com. “Toegang tot het seed record geeft een aanvaller de mogelijkheid het nummer te berekenen dat een token laat zien voor de authenticatie.” Kwaadwillenden hebben dan nog wel de gewone gebruikersnaam en eventueel wachtwoord nodig, maar het moeilijkste deel van de authenticatie hebben ze dan al wel in handen.

Een andere mogelijkheid is dat de inbrekers een master key in handen hebben gekregen. Daarmee zou dan een deel van het encryptie-algoritme zijn uitgelekt, wat die versleuteling flink ondermijnt. Dit zegt encryptiepionier Whitfield Diffie, vice-president encryptie bij internetbeheerder ICANN, tegen de New York Times. Volgens Diffie kunnen de daders in het ergste geval zelf SecurID-kaarten of –codes maken die technisch niet van echt zijn te onderscheiden en daarmee toegang geven tot beveiligde netwerken en systemen.

If every SecureID seed is stored in a database, it doesn't really matter if it was owned by an attacker. The legit uses are bad enough!7 hours ago via Twitter for Android

Tegenmaatregelen nemen

SecurID telt wereldwijd 25.000 organisaties als klant. Het totale aantal token-gebruikers ligt op 40 miljoen gebruikers, schrijft de Britse ict-nieuwssite The Register. Die gebruikers van de twee-factor authenticatie zijn veelal te vinden bij organisaties als banken, politie-organisaties, vliegtuigfabrikanten, medische instellingen, ministeries en andere overheidsinstanties, en grote bedrijven waaronder ook RSA-moederbedrijf EMC.

RSA geeft klanten enkele tips voor te nemen maatregelen. Die komen grotendeels neer op standaard security-advies. De leverancier adviseert beleidsregels voor sterke wachtwoorden en krachtige pincodes. Het adviseert om beheerders, ook securitymanagers, zo min mogelijk privileges te geven. En klanten moeten de nieuwste patches toepassen op de security-producten die zij gebruiken en de besturingsystemen waarop die draaien.

Active Directory

Daarnaast dringt de gehackte leverancier er bij klanten op aan om extra waakzaam te zijn. Het noemt sociale media, phishingmails en phishingtelefoontjes maar ook helpdeskprocedures waardoor login-informatie zou kunnen uitlekken. RSA adviseert nog specifiek het monitoren van beheeromgeving Active Directory, waarin logins en profielen voor Windows-omgevingen worden opgeslagen.

Twee-factor authenticatie voor toegang tot die beheeromgeving zelf wordt ook aangeraden. Verder moeten klanten letten op veranderingen in de privilegeniveaus en toegangsrechten voor hun gebruikers. Het beste is nog om voor dergelijke wijzigingen extra, handmatige handelingen in te stellen, zoals permissie door managers.

Ook de toegang – zowel op afstand als fysiek – tot ict-systemen met security-software moet strenger worden beveiligd, raadt RSA aan. Deze tips zijn samen met de open brief ingediend als formele melding bij de Amerikaanse beursautoriteit SEC (Securities and Exchange Commission). De open brief is niet gedateerd, maar is gisteravond laat online gezet, meldt Webwerelds zustersite Computerworld.com.