Kategoriarkiv: Företag

Testa lösenord via Twitter

Twitter är på många sätt en fantastisk tjänst. En av de bättre är hur enkelt det är att via Twitters programmeringsgränssnitt koppla program och maskiner som kan lyssna på tweets, skicka status och reagera på kommandon.

En sådan tjänst är Hash Cracking Robot. Detta är en tjänst som lyssnar på tweets riktade till sig som innehåller ett kryptografiskt kondensat skapat med olika typer av algoritmer såsom MD5, SHA-1, RIPEMD-160, WHIRLPOOL m.m.

Så här ser det ut när jag testar tjänsten genom att generera kondensat med MD5 för två olika strängar med OpenSSL.

Strängar för test av PlzCrack
Strängar för test av PlzCrack

Sedan postar jag strängarna riktade till @PlzCrack på Twitter (notera att postningarna är i omvändning ordning.):

Test av hashknäckning med Twitter
Test av hashknäckning med Twitter

Lägg märke till vad som händer. PlzCrack svarar mycket snabbt. Men det är bara strängar den känner till den kan knäcka rapportera. Egentligen är tjänsten en Twitterkoppling till regnbågstabeller. Detta innebär att det bara är strängar den känner till och har kondensat för som den kan hitta. Att skicka något till PlzCrack startar inte ett automatiskt försök att uttömmande söka efter en sträng som ger kondensatet, utan det är ren uppslagning i en tabell.

Twitter begränsar hur många tweets man kan göra inom en viss tidsperiod så att använda tjänsten för att testa en stor mängd kondensat går inte. Tjänsten är mer skoj och har nog ett rätt begränsat värde, men en fördel med PlzCrack är att du slipper att själv ha gigantiska regnbågstabeller eller att generera dessa tabeller. Sedan kan man fundera på hur bra det är att på ett bublikt forum leta efter strängar till kondensat…

Referat från föredrag på SEE 2012

Elektroniktidingen har publicerat en artikel om Secworks föredrag på SEE 2012 förra veckan.

Secworks Joachim Strömbergson pratar på SEE 2012.
Secworks Joachim Strömbergson pratar på SEE 2012.

Poängen vi i presentationen försöker göra är att säkerhet är en stödfunktion avsedd att skydda den affär som är kopplad till ett inbyggt system. För att få få fram den säkerhet affären kräver gäller det att identifiera vad i affären som måste skyddas, mot vem (fiende, motståndare) skyddet ska hålla och under vilka förutsättningar skyddet fungerar. Efter detta går det att identifiera komponenter och tekniker för att skapa detta skydd. Och till sist, inte glömma bort att verifiera att man verkligen fick det skydd som affären krävde.

Gör man inte på detta sätt riskerar man att få ett skydd för fel sak, skydd mot en annan motståndare och ett skydd som inte fungerar. Ett sådant skydd är förhoppningsvis bara onödigt dyrt och onödigt, men kan i värsta fall hota din affär och verksamhet.

Marknaden för skadlig kod

När jag är ute och pratar säkerhet träffar jag fortfarande på uppfattningen att personer som försöker ta sig in i ett system är finniga tonåringar med på tok för stort teknikintresse för sitt eget och andras bästa.

Tyvärr är det länge sedan dessa personer utgjorde det stora problemet (om dom någonsin gjort det). I dag är det industriella spioner och konkurrenter, kriminella nätverk och faktiskt även myndigheter som utgör hotet. Ett tecken på detta är att det i dag inte är virus som spelar en glad melodi som är problemet med skadlig kod. Nej, i dag för skadlig kod (ex trojaner) så lite väsen som möjligt samtidigt som koden försöker manipulera banktransaktioner, stjäla information och åstadkomma stor ekonomisk skada. De personer som utvecklar den kod som är basen för dessa attacker må kanske ha hudproblem, men dom är inte tonåringar utan proffs ute efter att tjäna pengar. Och de som utvecklar och utnyttjar koden har även mycket större resurser till sitt förfogande.

Forbes har publicerat en mycket intressant artikel som beskriver hur marknaden för skadlig kod ser ut inklusive de olika aktörerna – producenter av skadlig kod, konsumenter av skadlig kod och de mellanhänder/grossister som förmedlar koden. Handelsvaran kallas zero-days. Zero-days är information om och exempelkod som visar på publikt okända svagheter i ett system, svagheter som går att utnyttja för att attackera ett system. Om någon vill attackera iPhone-enheter finns det leverantörer som Franska VUPEN Security som kan leverera zero days.

Hur mycket kostar en zero-day? Enligt Forbes beror det både på storlek på attackmarknaden samt hur svårt det är att hitta en svaghet som går att utnyttja. I sin artikel presenterar Forbes följande lista med riktipriser:

Forbes lista med riktipriser för zero-days.

Att attackera Windows-system kostar mer än att attackera Mac. Att kunna attackera iOS-enheter, ex iPhone är uppenbarligen väldigt eftertraktat.

En sak att notera med artikeln är att det inte i första hand är kriminella organisationer som skapar och driver på marknaden. Nej det är vi, medborgare i olika länder representerade av våra länders myndigheter som strategiskt börjat köpa upp zero-days och börjat bygga cyberkrigs-kapabilitet. I ett cyberkrig ses zero-days som basen för offensiva vapen, och kunskapen om hur zero-days fungerar är också strategiskt viktig för att kunna börja skapa defensiva mekanismer. Det är denna stävan efter att bygga upp cyberkrigskapabilitet som gör att länder med stora ekonomiska resurser som driver upp priserna och därmed skapar marknaden.

En uppenbar måltavla för denna kapabilitetssträvan är infrastruktur, SCADA-system och industrisystem. Listan som Forbes publicerar har inte med några sådana typer av system. Men Stuxnet använde flera olika zero-days som bas.

Ett bekymmer med den här marknadens tillväxt är hur rapporteringen av svagheter förändras. Inom säkerhetsvärlden har det länge förts en debatt om hur någon som hittar en svaghet ska delge omvärlden information om svagheten. Det finns några olika strategier. Full Disclosure, dvs fullständig öppenhet innebär att den som hittat svagheten själv går ut och öppet berättar om svagheten. Sedan får världen inklusive leverantören av systemet i vilket svagheten finns hantera situationen på bästa sätt. Full disclosure sätter press på leverantören, och innan leverantören kunnat laga svagheten kan svagheten hinna utnyttjas. Detta har gjort att en del presenterat Responsible Disclosure. Detta innebär att leverantören samt leverantörer av säkerhetsprogram får reda på svagheten en viss tid innan den publiceras publikt.

Responsible Disclosure har dock visat sig kunna innebära att leverantören drar benen efter sig och ändå inte lagar svagheten innan den publicerats. En annan kritik är att någon annan kan hinna upptäcka och utnyttja svagheten under tiden av tystnad. Användarna av systemet riskerar därmed att använda ett system med en konstaterad svaghet längre tid än nödvändigt utan att veta om svagheten. Användarna vidtar därmed inte motåtgärder som skulle kunna minska effekten av svagheten.

Slutligen kan den som hittat en svaghet bara prata med leverantören. Leverantören skickar ut lagning av svagheten utan att berätta vad lagningen löser och användaren får aldrig reda på något. Denna strategi kallas Closed Disclosure. Men som Forbes visar finns det nu en variant av Closed Disclosure – att hålla sin upptäckt publikt hemlig, men sedan sälja informationen – och då inte nödvändigtvis till leverantören av systemet.

Det finns företag som är beredda att betala för att få buggar hittade i sina produkter. Ett sådant företag är Google som erbjuder upp till 1337 USD för buggar i sin webbläsare Chromium. Men som synes är den summan mycket, mycket lägre än vad man kan få på annat håll.

Jag är inte överraskad, men tycker att det är oroande att det nu finns en etablerad marknad för skadlig kod. Att komma med generella råd för hur man ska skydda sig är inte lätt. Men ett viktigt första steg är att inse hoten inte kommer från grannens tonåring.

10000 industriella kontrollsystem kopplade till Internet

Ett argument som ofta framförs när det gäller säkerhet för industriella kontrollsystem (på engelska ofta kallade ICS och SCADA) är att det inte finns några riktiga problem, detta för att systemen är isolerade och inte är kopplade till externa nätverk – exempelvis till Internet. Populära isolerande skyddmetoder är så kallade luftgap (på engelska air gap) samt datadioder. Med luftgap avses att det inte finns någon elektrisk förbindelse mellan kontrollsystemets nätverk och andra nätverk. Med datadioder avses mekanismer som gör att  trafiken i nätverket bara kan flöda åt ett håll.

Datadiod

Figuren visar hur en datadiod är tänkt att figuren. Notera att figuren egentligen är åt fel håll. Detta för att datadioder används för att isolera system som hanterar känslig information och där vill man inte att information ska läcka ut. I ett kontrollsystem är det oftast precis tvärt om som är intressant. Det går att skicka över mätdata från kontrollsystemet, men det går inte att skicka styrkommandon till kontrollsystemet. Leverantörer av industriella säkerhetssystem kräver ofta att deras utrustning ska skyddas genom isolering. Men hur fungerar det i verkligheten, och är detta egentligen bra och robusta metoder att hantera säkerhetsproblem?

Wireds säkerhetsblogg Threat Level rapporterar om resultat som säkerhetsforskaren Eireann P. Leverett nyligen presenterade som visar att det finns industriella kontrollsystem kopplade till Internet, mer exakt har Leverett hittat fler än 10000 stycken! Genom att använda nätverksscannern Shodan har Leverett letat efter kända industriella ontrollsystem, och även kunnat identifiera vilka versioner av system som används. Leverett har sedan mappat dessa i en fin graf över världen som visar var systemet finns:

Everetts graf som visar var olika industriella kontrollsystem finns och deras svagheter.
ICS med versioner och dess svagheter.

Av de system Everett hittade visade sig bara 17% över huvud taget använda någon form av enklare accesskontroll, exempelvis lösenord! Undersökningen är en del av den avhandling Everett arbetat med och för den som vill veta mer om Everetts undersökning finns hans avhandling Quantitatively Assessing and Visualising Industrial System Attack Surfaces hos Wired.

Jag anser att resultaten Everett presenterat visar att bara använda isolering som enda säkerhetsmetod för sitt industriella kontrollsystem inte ger ett adekvat skydd. I stora, komplexa kontrollsystem med tusentals mät- och styrnoder finns det stor risk att effektivisering, krav på snabb problemlösning, underhåll utfört av tredje part eller misstag leder till att hela eller delar av systemet kan exponeras mot omvärlden under kortare eller längre tid. Någon kopplar in ett GSM-router för att kunna övervaka en nod som sitter taskigt till rent fysiskt. En leverantör behöver möjlighet att få diagnostik. En del av systemet kopplas temporärt in på kontorsnätet. I dag är det inte heller nyfikna personer som sitter och för hand letar efter märkliga maskiner på Internet. Istället är det robotar, automatiska scannerverktyg som Shodan som periodiskt scannar av Internet. Risken att det exponerade systemet blir upptäckt är därför mycket större än man kanske tror.

Istället bör man räkna med att sitt industriella kontrollsystem kommer att kunna exponeras på olika sätt och börja ställa krav på säkerheten hos de noder och maskiner som är inkopplade i nätet. Att använda isolering är bra, men det bör kompletteras med säkerhet på djupet. Och om det nu finns kommunikationskanaler ut ska dom självklart använda vettiga autenticeringsmekanismer. Att 87% av de system Everett hittade inte ens har lösenordsskydd är väldigt skrämmande.

För den som ändå tror på isolering som fungerande metod bör studera Stuxnet-attacken. Där var kontrollsystemet isolerat. Men det som inträffade var att någon, avsiktligt eller oavsiktligt kopplade in ett USB-minne eller laptop och därmed infekterade systemen innanför luftgapet. Att tekniker tar med sig mätverktyg, laptops när dom ska lösa problem och kopplar in dessa i systemet borde knappast vara otänkbart scenario. Självklart ska det ställas krav på utrustningen som kopplas in, exempelvis uppdaterat virusskydd, men säkerheten måste även finnas inne i kontrollsystemet.

Verified by VISA och kapprustning inom IT-säkerhet

Ett blogginlägg hos Optinet satte fingret på den kapprustning och utveckling av offensiva kontra defensiva metoder inom IT-säkerhet. (Ja, jag är medveten om att det inte bara gäller IT-säkerhet, utan generellt. Folk anpassar sig till förutsättningarna och försöker hitta nya metoder och vägar att nå sina mål.)

Som ett sätt att öka säkerheten vid kortbetalningar på Internet har VISA och sedan andra kreditkortsbolag infört ett system kallat 3-D Secure. Systemet bygger på att kopla tre domäner till varandra (därav namnet 3-D) – Domänen för mottagaren av betalningen, domänen för utbetalande institut och domänen för den som tillhandahåller transaktionen. De olika kortföretagen har sedan lanserat systemet under olika namn, ex Verified by VISA eller MasterCard SecureCode.

För dig som användare  märks systemet genom att du hamnar på en sida som ser ut ungefär så här (om du använder VISA):

Verified by VISA
Verified by VISA

Som användare får du mata in ett lösenord för att transaktionen skall accepteras. Lösenordet har du tidigare varit tvungen att registerera hos din kortutgivare – din bank eller liknande.

Säkerheten hos kreditkorten byggde från början på enbart kreditkortsnummer och namnet till kortinnehavaren samt viss sidoinformation som datum.  Nästa steg var att införa säkerhetskoder som inte är inpräglade i kortet och oftast ej heller finns lagrat i magnetremsan (kallas Card Security Code eller CVV). Men fortfarande är informationen som behövs för att verifiera en transaktion tillgänglig för den som kommer över informationen på det fysiska kortet. Det är bland annat detta Secure-3D ändrar på (så vida du inte har lösenordet skrivet på kortet).

Bedrägerierna mot kort har också utvecklats (och drivit fram de nya metoderna). Från början plockades kortnummer och information från prägligen genom att samla in karbonpapper och kvitton. När detta försvårades genom koderna på baksidan dök skimming upp och har blivit allt mer avancerad. I dag är korten ofta utrustade med inbyggda chip som tillsammans med PIN-kod ska höja säkerheten lokalt och skydda mot skimming. Tyvärr är protokollet som används i Chip+PIN trasigt, vilket öppnar för lokala bedrägerier med stulna kort.

Blogginlägget Verify by VISA-bedrägeri visar att skurkarna är i full gång med att försöka gå runt även Secure-3D-skyddet. I det här fallet handlar det om rent phishing via mail:

Phising mot Verified by VISA
Phising mot Verified by VISA

Texten ovan är vad som skickats ut till användare i mail. Man försöker uppebarligen får det att se ut att komma från kortföretagen och vill få dig att lämna ut lösenordet. Kallas för Phising, eller när det är riktat direkt mot en enskild måltavla Spear Phising.

För att denna attack ska lyckas krävs naturligtvis att skurkarna även har kortnummer, namn, utgångsdatum och Card Security Cocde. Men det hindrar dom inte från att försöka. Och även om dom inte själva har kortinformationen är ett lösenord i sig värt pengar på den svarta marknaden.

Bloggpostningen är värd att läs och har många bra tips. Jag vill dock upprepa det viktigaste av dom:

Din bank eller kreditkortsleverantör kommer aldrig under några som helst omständigheter att via mail fråga om ditt lösenord eller be dig att nollställa det. De kommer inte heller att fråga om ditt kortnummer. Detta är det enda man behöver komma ihåg för att inte bli lurad i denna typ av bedrägeri.

Som användare blir det allt fler moment och information som ska tillhandahållas. Men än så länge finns det (så vitt jag vet) ingen ny teknisk lösning som ger både högre säkerhet och enklare användning för denna typ av transaktioner.

Säkerhet och management av miljarder Internetsaker

Ett av det mest intressanta trenderna tycker jag är Internet of Things – tanken att enkla saker ges en enkel, digital intelligens, kopplas upp på Internet och blir en del av informationsflödet. Att koppla upp allt på nätet och därmed göra det möjligt att övervaka och styra ger helt nya möjligheter.

Att exempelvis kunna läsa av och styra enskilda lampor i kontor och fabriker gör det möjligt att optimera ljussättning och därmed energianvädningen mycket mer exakt än idag. Cisco har gjort en mycket snygg illustration som förklarar Internet of Things.

Samtidigt, för att detta ska gå att genomföra behöver vi kunna lita på att de saker vi pratar med verkligen är de saker vi tror att det är. Vi behöver även kunna lita på den information som sakerna skickar. Och dessutom måste det gå att begränsa access till sakerna så att bara den som har rätt att styra sakerna får göra det. Vad det handlar om är klassisk IT-säkerhet och client-server-management – men för miljarder av enheter i komplexitet, noll kronor i kostnad och utan att förbruka energi.

Detta låter inte precis enkelt – och det är kanske till och med omöjligt. Naturligtvis kan inte kostnad och energiförbrukning vara exakt noll. Den forsknings- och ingengörsmässiga utmaningen är att hitta mekanismer (protokoll, system, komponenter) kapabla att skala upp till den komplexitet som det stora antalet enheter ställer, men där den lokala komplexiteten (per enhet) är så låg att den möter kostnads- och energibudget. För inbyggda system, och speciellt där det är systemet som skall läggas till en så enkel sak som en lampa, är kostnaden väsentligen noll. Det enda som räknas är funktionaliteten – och säkerhet är inte en del av funktionaliteten, den är bara ett sätt att säkra funktionaliteten.

Jag tycker dock att det låter utmanande, extremt lockande och jag ser att lösa dessa utmaningar är nyckeln till att visioner som Ericssons 50 Billion Connected Devices 2020 ska kunna lyckas. (Tyvärr ser jag inte att Ericsson pratar om dessa utmaningar i sin presentation, men den handlar i första hand om att sälja in visionen – inte beskriva vad som krävs).

En viktig komponent i säkerhetskedjan är tillgången på bra krypton. Nu vill jag direkt säga en sak: Jag stöter ofta på fall där man av olika skäl kommit fram till att systemet och affären runt systemet (produkten och eller tjänsten) kräver någon form av skydd. Och att man därför landat i att man behöver kryptera. Oftast har man dessutom tagit ett steg till och valt AES-256 som kryptolösning. Inte sällan är detta fel.

Hur kan det vara fel, undrar du säkert? Om vi tar glödlampan som exempel igen. Hur viktigt är det att någon utomstående vet att lampa med ID-nummer 31415926535 är tänd eller släkt – vad skulle kunna hända om den informationen kom i orätta händer? Det kan säkert finnas scenarion där det kan vara viktigt.

Det som är antagligen är mycket viktigare är att veta att statusinformationen verkligen kommer från 31415926535 och att du kan lita på att informationen är korrekt. Det som annars skulle kunna hända är att lampa 31415926535 och dess 10000 kompisar som används för att belysa Volvos nybilsparkering är släkta/trasiga och att tjyven kan härja fritt, men att du tror att dom är tända.

Det som oftast krävs är därför pålitliga identiteter och skydd av ett meddelandes integritet (så att ingen kan pilla på meddelandet utan att det upptäcks av mottagaren). Och ibland även att meddelanden inte går att läsa för den som inte är behörig – att meddelandet är konfidentiellt för andra än sändaren och mottagaren.

Ett symmetriskt krypto som AES ger i första hand konfidentialitetsskydd. Det kan även används för att ge integritetsskydd och identitetskontroll och förutsätter att sändare och mottagare på något sätt redan kommit överens om nycklar. Vanligare är att asymmetriska krypton (kallas även krypto med publika nycklar) och hashfunktioner används att etablera identitet och integritet.

Tyvärr är det svårt att hitta bra algoritmer som inte kostar för mycket. Speciellt asymmetriska algoritmer finns det för närvarande inga som egentligen fungerar för Internet of Things. Det som är positivt är att problemet har börjat uppmärksammas. EU-sponsrade ECRYPT II anordnar i november en konferens i ämnet. På konferensen CRYPTO 2011 hölls en rump session där Danilo Gligoroski presenterade del resultat som visar på mycket snabbare/effektivare asymmetriska krypton.

Även protokoll som inte är för komplexa, men samtidigt säkra behöver utvecklas. IETF anordnade i mars en workshop om problemställningarna runt Internet of Things, men än är det långt tills vi har standarder att bygga på.

Secworks gör uppdrag riktat mot utvecklingen av Internet of Things, och kommer att bevaka och försöka bidra till att få fram de teknologier som krävs. Jag kommer därför att posta mer om utvecklingen av säkerhet och management för Internet of Things här. Bland annat om de riktigt kompakta algoritmer och implementationer som faktiskt finns redan i dag. Häng med!

Hacka assembler hos FRA

FRA söker just nu specialister inom reverse engineering. I beskrivningen av tjänsten finns en kul utmaning (om man gillar att klura och hacka).

FRA-tangentbord.

Utmaningen i beskrivningen ser ut så här:

mov ecx, 20
jmp url
decr: pop esp
dans: xor [esp+ecx-1], ecx
loop dans
ret
url: call decr
db 76h,75h,74h,2ah,63h,74h,66h
db 26h,7ah,6fh,24h,6fh,65h,6fh
db 63h,7ch,74h,7ch,74h,71h

Vet inte om man ska dra för stora växlar av vilken plattform FRA är intresserade av utifrån assemblerkoden och övriga delen av utmaningen (om inte annat ganska naturligt val av plattform).

Det är dock intressant att se att svenska myndigheter ser ut att gilla att köra utmaningar. Försvarmaktens CERT söker en IT-incidenthanterare och gör det med följande utmaning:

1f8b08000000000000034b4d4d324c31374eb1484e4b3533b034
b248323449b348b2344e4c35314d4c31070044f43b4420000000

FRA har även kört utmaningar tidigare, den här kom 2009 när de sökte en analytiker inom IT-säkerhet:

RXhrbHVzaXZ0LCBlbGxlcj8gTWVuaW5nZW46IAssKS43JicwI2
IxNCMwJyxiMqdiJLQuKCMsJidiJDCnJS0wYitiJissYiMsMbQp
Iyx4YnNsYgo3MGIvpywlI2ItLispI2I2OzInMGIjNGIvpiwsKz
EpLTBiJCssLDFiJic2fWJwbGIKNzBiL6csJSNiLycmIzBiKiMw
YicsYgwNEm8xLqYmJ30=

Om inte någon av dessa faller dig i smaken har även Spotify några kul utmaningar.

IDG listar Sveriges främsta IT-säkerhetsexperter

IDG har publicerat sin årliga lista över Sveriges främsta IT-säkerhetsexperter. I år har Robert Malmgren hamnat i topp.

Robert Malmgren
Robert Malmgren

Ett bra och välförtjänt val. Stort grattis! IDG har även en läsvärd intervju med Robban som visar hur insatt och pedagogisk han är. Få kan sätta IT-säkerhet i sitt sammanhang lika bra. Grattis Robban!

Värt at notera att Robert Malmgren och hans företag ligger bakom IronFox och IronBird. Dessa program gör Firefox och Thunderbird mycket säkrare genom att stoppa in dom i en sandlåda. Är du Mac-användare och använder dessa verktyg bör du testa dessa.

Attack på RSA

RSA (företaget, inte algoritmen) har utsatts för en riktad attack. Enligt ett öppet brev från RSA har någon lyckats ta sig in i RSAs system och komma över information kopplat till produkterna SecurID

SecurID-produkter

RSA skriver:

Recently, our security systems identified an extremely sophisticated cyber attack in progress being mounted against RSA.

Our investigation has led us to believe that the attack is in the category of an Advanced Persistent Threat (APT).

Our investigation also revealed that the attack resulted in certain information being extracted from RSA’s systems. Some of that information is specifically related to RSA’s SecurID two-factor authentication products. While at this time we are confident that the information extracted does not enable a successful direct attack on any of our RSA SecurID customers, this information could potentially be used to reduce the effectiveness of a current two-factor authentication implementation as part of a broader attack.

We are very actively communicating this situation to RSA customers and providing immediate steps for them to take to strengthen their SecurID implementations.

(Notera att jag editerat genom att klippa bort ett par stycken. Se orginalet för skillnaden.)

Att företag som levererar säkerhetsinfrastruktur själva blir måltavlor är inte förvånande, men det här visar konkret att så är fallet. Speciellt infrastruktur avsedda att säkra ekonomiska transaktioner är i dag klara måltavlor.

Sedan hoppas jag att RSA verkligen gör det dom säger att dom gör – pratar med sina kunder. Jag hittar inget på deras webbplats som förklrarar:

  • Hur attacken faktiskt gått till
  • Exakt vad man förlorat
  • På vilket sätt det man förlorat försämrar säkerheten hos kunderna (slutanvändarna – dvs du och jag)
  • Hur kunderna ska agera för att återskapa säkerheten

Det öppna brevet ger mer intrycket av ett företag som genom stora, fina ord försöker försäkra oss om att dom går att lita på. Men i det här läget är enl min mening öppenhet enda sättet att återfå förtroendet.

Inte minst för ett företag som är branschledande bör gå före och genom öppenhet hjälpa andra att skydda sig och därmed återskapa förtroendet. Inte bara för sina egna produkter, utan branschen och tekniken som sådan. Det här är större än RSA själva.

Uppdatering 2011-03-17: I en artikel hos NYT spekulerar Whit Diffie att det är huvudnyckeln som blivit stulen. Det är en ren gissning men visar på varför RSA måste vara öppna med vad som faktiskt hänt.