SecurID

RSA SecurID Token pro Windows a RSA SecurID Token pro Mac OS X jsou pohodlné tvarové faktory nainstalované na vašem počítači a poskytují automatickou integraci s předními klienty prostřednictvím vzdáleného přístupu.

RSA SecurID Toolbar Token, token vestavěný do prohlížeče, umožňuje automatické vyplňování formulářů webových aplikací se zaměřením na zabezpečení pomocí mechanismů proti phishingu.

RSA SecurID On-demand Authenticator umožňuje uživatelům získat jednorázové heslo ve formě SMS zprávy doručené na mobilní telefon nebo e-mail. Uživatelé si vyžádají jednorázové heslo pomocí intuitivní samoobsluhy webového modulu zadáním svého PIN . RSA SecurID On-demand Authenticator nevyžaduje hardwarový ani softwarový token. To je skvělá volba pro uživatele, kteří nepotřebují často vzdáleně přistupovat k síti.

Popis procesu ověřování

Když uživatel požaduje přístup k prostředku, ať už je to webový portál, pracovní stanice , síťové úložiště, VPN nebo telefonický server. Místo standardní výzvy k přihlášení a zadání hesla je vyžadováno přihlášení a heslo. Přístupová fráze je reprezentována jako speciální kombinace PIN kódu (4 číslice, které si uživatel pamatuje) a kódu tokenu (6 číslic, které jsou aktuálně zobrazeny na tokenu). Uživatel jednoduše musí zadat tato 2 čísla postupně.

Agent posílá informace poskytnuté uživatelem na server v zašifrované podobě. Server ukládá uživatelské PIN kódy a softwarové kopie všech registrovaných tokenů, takže může kontrolovat informace poskytnuté uživatelem.

V závislosti na výsledku kontroly agent uživateli buď udělí přístup ke zdroji, nebo mu přístup odepře.

Popis algoritmu pro získání tokenového kódu

Každý token odpovídá 128bitovému náhodnému číslu — vektoru počáteční generace (seed). V každém žetonu jsou také zabudovány hodiny. Kód tokenu je výsledkem algoritmu patentovaného společností RSA, který jako parametry bere aktuální čas a vektor počáteční generace Pomocí kódu tokenu není možné obnovit vektor počáteční generace, protože algoritmus pracuje v jednom směru. [6]

Kód tokenu je platný jednu minutu (mění se jednou za minutu a pouze jednou). Protože počáteční vektory generování odpovídající tokenům jsou uloženy na serveru, může kdykoli obnovit aktuální kód tokenu pomocí stejného algoritmu . Pro případ, že se hodiny serveru a tokenu rozcházejí, je zajištěna automatická synchronizace. To znamená, že pokud například hodiny tokenu běžely dopředu, server zadá do databáze hodnotu posunu odpovídající konkrétnímu tokenu. Toho je dosaženo tím, že server vypočítává heslo nejen pro aktuální minutu, ale také pro minulé a budoucí minuty. Pokud je tedy PIN zadaný uživatelem správný a kód tokenu odpovídá sousedním minutám, je desynchronizace zohledněna pro další operace. [7]

Technologická zranitelnost

Teoretické zranitelnosti

SecurID není chráněn před útoky typu man-in-the-middle . Útočník může uživateli zablokovat přístup a připojit se k serveru, dokud nebude vygenerován další token hesla.

Dalším problémem je náhodné hádání hesla. SecurID se snaží tento problém vyřešit omezením počtu žádostí o ověření během časového období, ve kterém se heslo negeneruje.

Nejnebezpečnější a téměř fatální zranitelností je ztráta nebo krádež tokenů.

Narušení bezpečnosti v roce 2011

Plán útoku na SecurID:

1. Několik uživatelů je zaměřeno na dva phishingové útoky, jeden z uživatelů otevře neznámý malware
2. Poison Ivy získá vzdálený přístup k počítači uživatele
3. Útočník získá přístup k uživatelským a administrátorským účtům a také k důležitým systémovým službám
4. Data byla získána ze serverů, na které byl útok zaměřen, a byla dána k distribuci
5. Data jsou přenášena k poskytovateli hostingu útočníka pomocí zabezpečeného souboru přes ftp

17. března 2011 RSA oznámila, že se stala obětí „extrémně sofistikovaného kybernetického útoku“. Přestože je společnost přesvědčena, že extrahované informace neumožnily úspěšné přímé útoky na žádného z klientů RSA SecurID, obávala se, že by tyto informace mohly být použity ke snížení účinnosti současné implementace dvoufaktorové autentizace v rámci širšího útoku . . Společnost EMC (mateřská společnost RSA) vynaložila 66,3 milionu dolarů na opravu narušení systému, aby vyšetřila útok, zlepšila svůj IT systém a monitorovala operace firemních zákazníků, v souladu s rozhodnutím výkonného viceprezidenta a finančního ředitele EMC Davida Guldena. během konferenčního hovoru s analytiky.

Útočník během dvou dnů odeslal dva různé phishingové e-maily, které byly zaměřeny na dvě malé skupiny zaměstnanců. Dopisy se jmenovaly „2011 Recruitment Plan“. E-maily byly zpracovány dostatečně dobře na to, aby oklamali jednoho ze zaměstnanců, aby je extrahovali ze spamu a otevřeli přiložený excelový soubor. Jednalo se o tabulku s názvem „2011 plan.xls“. Tabulka obsahovala škodlivý program, který instaluje program backdoor prostřednictvím zranitelnosti Adobe Flash [8] . Jako okrajovou poznámku uvádí, že společnost Adobe nyní vydala opravu pro tento malware, takže jej již nelze používat k vkládání malwaru do opravených počítačů. Dalším krokem, stejně jako u každé pokročilé perzistentní hrozby (APT), je instalace nějakého nástroje pro vzdálenou správu, který by útočníkům umožnil ovládat počítač. V tomto případě je zvolenou zbraní varianta Poison Ivy umístěná v režimu obráceného připojení, což by ztížilo její detekci. Podobné metody byly zdokumentovány v mnoha minulých ACT, včetně GhostNet. Jakmile je navázán vzdálený přístup , útočník, stejně jako v každém typickém APT, začne tiše analyzovat, aby zjistil roli pracovníků a úroveň jejich přístupu. Pokud to pro účely útočníků nestačí, budou hledat uživatelské účty s vyššími oprávněními. Data jsou filtrována přes šifrované soubory přes FTP z kompromitovaného počítače k ​​vetřelcům.

Dne 21. března 2011 e-mailem a v otevřeném dopise šéf společnosti oznámil [9] , že informace odcizené z interní sítě společnosti mohou být použity k hacknutí systémů chráněných SecurID. a v květnu 2011 se po pokusu o nabourání se do výrobce vojenské techniky Lockheed Martin [10] , ukázalo, že obavy nebyly neopodstatněné. Objevily se také zvěsti, že L-3 Communications byla napadena v dubnu . Šéf RSA Security Art Coviello připustil, že RSA nevydala prohlášení dříve, protože se bála dát hackerům cestu k dalším útokům. Nyní je však jasné, že hackeři, kteří útok na Lockheed Martin zorganizovali, měli informace o tom, jak obejít technologie RSA, a tak se ukázalo, že společnost pouze dezinformovala zákazníky o bezpečnosti jejich produktů a rizicích, kterým mohou čelit. 6. června 2011 RSA slíbila, že bezplatně nahradí všechny tokeny SecurID, které používá více než 30 000 podniků a vládních organizací po celém světě.

Trh OTP

Podle analytické společnosti Frost & Sullivan za rok 2008 byl objem světového trhu s jednorázovými hesly (One Time Password, OTP) odhadován na 430 milionů dolarů. Do roku 2015 by mohl dosáhnout 690,4 milionů dolarů, což je průměrný roční růst. za toto období bylo 7,8 %. A podle odborníků se tento trh nadále vyvíjí. Hlavním tahounem jejího vývoje je rostoucí trend nahrazovat hardwarová autentizační zařízení čipovými kartami a rostoucí poptávka po OTP softwaru pro firemní a maloobchodní aplikace.

V roce 2008 provedla společnost Frost & Sullivan průzkum mezi 20 dodavateli autentizace hardwaru. Výsledky ukázaly, že zavedení hráči jako RSA Security a VASCO Data Security International, Inc. , si i nadále udržela přibližně 80 % trhu, přičemž je třeba poznamenat, že 62 % trhu patřilo RSA. Hlavními konkurenty předních společností jsou výrobci čipových karet.

Vzhledem k tomu, že potřeby zákazníků v průběhu času rostou, společnosti jako RSA, Vasco, Aladdin Knowledge Systems a ActivIdentity například vytvářejí nová řešení pro splnění specifických požadavků, která se nespoléhají pouze na autentizační zařízení, ale kombinují více autentizačních řešení. Mnoho výrobců přidalo do svých produktů USB tokeny , čipové karty , OTP software a systémy pro správu autentizace. [jedenáct]

Bezplatná verze

K dispozici je zkušební verze zdarma. Součástí této nabídky je také serverová licence s omezenou životností, omezená na dva uživatele, a dva tokeny SID700. Tato verze má plnou funkcionalitu, která umožňuje přejít na komerční použití bez jakýchkoli dalších nastavení. [12]

Viz také

• Žeton
• Povolení
• TOTP
• RSA Security
• RSA

Poznámky

1. ↑ Nejrespektovanější web společnosti zabývající se počítačovou bezpečností byl hacknut Archivováno 4. března 2016.  (Ruština)
2. ↑ Informace RSA SecurID SD 600 archivovány 4. února 2011 na Wayback Machine 
3. ↑ Informace o RSA SecurID SID 700 Archivovány 10. ledna 2013 na Wayback Machine 
4. ↑ Informace o RSA SecurID SID 800 Archivovány 11. ledna 2013 na Wayback Machine 
5. ↑ RSA Security umožňuje všudypřítomnou autentizaci, protože technologie RSA SecurID(r) dosáhne každodenních zařízení a softwaru; — M2 Presswire | HighBeam Research: Online tiskové zprávy
6. ↑ TOTP: Algoritmus jednorázového hesla založený na čase . Datum přístupu: 19. prosince 2012. Archivováno z originálu 25. listopadu 2012. (neurčitý)
7. ↑ Komplexní úvod do autentizace uživatele RSA SecurID®  ( downlink  )
8. ↑ CVE-2011-0609 . Získáno 18. prosince 2012. Archivováno z originálu dne 21. července 2013. (neurčitý)
9. ↑ Otevřený dopis zákazníkům RSA archivován 19. března 2011 na Wayback Machine 
10. ↑ Firemní zdroje Lockheed Martin napadené neznámými hackery Archivováno 13. dubna 2014 na Wayback Machine  (ruština)
11. ↑ Aktuální stav trhu s jednorázovými hesly Archivováno 4. března 2016.  (Ruština)
12. ↑ Dvoufaktorová autentizace založená na technologii RSA SecurID Archivováno 16. března 2013 na Wayback Machine  (ruština)

Odkazy

• Dvoufaktorové ověřování RSA® SecurID
• Anatomie útoku
• Otevřete dopis zákazníkům RSA SecurID
• Aktuální stav trhu s jednorázovými hesly
• Elektronické klíče pro autentizaci