Etikettarkiv: RSA

Artikel på IDG om asymmetrisk kryptering

TechWorlds webbplats finns sedan några dagar en artikel om asymmetrisk kryptering skriven av Secworks.

Här får du min publika nyckel.
Här får du min publika nyckel.

Artikeln tar upp vad asymmetriska krypton och kryptering med publika nycklar är samt hur dom används och vilka problem som finns. Artikeln beskriver även skillnader i nyckelstyrka mellan symmetriska och asymmetriska algoritmer. Dessutom tittar vi i artikeln närmare på flera olika algoritmer som RSA, El Gamal, Elliptic Curve och Curve25519. Förhoppningsvis ger artikeln lite insikt i hur asymmetrisk kryptering fungerar och används.

RSA beskriver attacken

RSA har gått ut med en relativt detaljerad beskrivning av hur attacken som ledde till förlust av vital information för deras SecurID-produkt gick till. (The Register har även en bra artkel om händelsen.)

Attacken visar sig varit klart avancerad och uppenbarligen noga planerad. Genom riktad kommunikation till anställda hos RSA lyckades de som utförde attacken få in trojaner i RSAs lokala system. RSA skriver:

In our case the attacker sent two different phishing emails over a two-day period. These emails were sent to two small groups of employees. When you look at the list of users that were targeted, you don’t see any glaring insights; nothing that spells high profile or high value targets.

Attacken utnyttjade en tidigare okänd svaghet med Adobe Flash inbäddad i Excel-dokument som skickas med i epost (Varför man skulle vilja kunna stoppa in Flash i sitt Exceldokument övergår mitt förstånd).

Genom att samla in användaruppgifter och information om systemet lyckas de som utförde attacken arbeta sig upp i RSAs interna säkerhetskedja tills dess att de fick tag i accessrättigheter till hjärtat av SecuriID. Följande figur från RSA visar på ett bra sätt hur attacken gick till.

RSA-attacken i fem steg.
RSA-attacken i fem steg.

Att RSA berättar hur attacken gick till är jättebra. Men det RSA fortfarande inte berättar är VAD som försvann och på vilket sätt det hotar säkerheten för företag och användare som beror av SecurID för säkra sina system, resurser och tillgångar. Tiden går och ju längre RSA dröjer med detta desto längre kvarstår osäkerheten. Och desto längre kan de som utförde attacken dra nytta av sin fångst. Inte alls bra.

Attack på RSA

RSA (företaget, inte algoritmen) har utsatts för en riktad attack. Enligt ett öppet brev från RSA har någon lyckats ta sig in i RSAs system och komma över information kopplat till produkterna SecurID

SecurID-produkter

RSA skriver:

Recently, our security systems identified an extremely sophisticated cyber attack in progress being mounted against RSA.

Our investigation has led us to believe that the attack is in the category of an Advanced Persistent Threat (APT).

Our investigation also revealed that the attack resulted in certain information being extracted from RSA’s systems. Some of that information is specifically related to RSA’s SecurID two-factor authentication products. While at this time we are confident that the information extracted does not enable a successful direct attack on any of our RSA SecurID customers, this information could potentially be used to reduce the effectiveness of a current two-factor authentication implementation as part of a broader attack.

We are very actively communicating this situation to RSA customers and providing immediate steps for them to take to strengthen their SecurID implementations.

(Notera att jag editerat genom att klippa bort ett par stycken. Se orginalet för skillnaden.)

Att företag som levererar säkerhetsinfrastruktur själva blir måltavlor är inte förvånande, men det här visar konkret att så är fallet. Speciellt infrastruktur avsedda att säkra ekonomiska transaktioner är i dag klara måltavlor.

Sedan hoppas jag att RSA verkligen gör det dom säger att dom gör – pratar med sina kunder. Jag hittar inget på deras webbplats som förklrarar:

  • Hur attacken faktiskt gått till
  • Exakt vad man förlorat
  • På vilket sätt det man förlorat försämrar säkerheten hos kunderna (slutanvändarna – dvs du och jag)
  • Hur kunderna ska agera för att återskapa säkerheten

Det öppna brevet ger mer intrycket av ett företag som genom stora, fina ord försöker försäkra oss om att dom går att lita på. Men i det här läget är enl min mening öppenhet enda sättet att återfå förtroendet.

Inte minst för ett företag som är branschledande bör gå före och genom öppenhet hjälpa andra att skydda sig och därmed återskapa förtroendet. Inte bara för sina egna produkter, utan branschen och tekniken som sådan. Det här är större än RSA själva.

Uppdatering 2011-03-17: I en artikel hos NYT spekulerar Whit Diffie att det är huvudnyckeln som blivit stulen. Det är en ren gissning men visar på varför RSA måste vara öppna med vad som faktiskt hänt.