RSA Security отзывает 40 миллионов скомпрометированных жетонов SecurID
17-10-2011
Жетоны SecurID представляют собой ключевые компонентов систем двухфакторной аутентификации, которые до недавнего времени считались наиболее надежными и неуязвимыми механизмами защиты. Каждая учетная запись пользователя привязывается к этому портативному устройству, способному генерировать псевдослучайные числа через небольшие промежутки времени (обычно интервал составляет 30 или 60 секунд). Для входа в систему пользователь должен ввести свое имя, пароль, а также число, выданное жетоном. Серверу аутентификации известно, какое число должно поступить от владельца конкретного жетона, на основании этой информации система с высокой точностью устанавливает личность пользователя.
Точная последовательность генерируемых чисел определяется секретным алгоритмом RSA на основании случайного начального числа (seed). Каждый жетон располагает собственным начальным числом, связанным с учетной записью пользователя. В случае рассекречивания алгоритма и начального числа, брелок становится совершенно бесполезным. Злоумышленник сможет самостоятельно воспроизвести расчеты, выполняемые сервером аутентификации и сгенерировать правильный одноразовый пароль.
Напомним, что согласно более ранним заявлениям руководства RSA, зарегистрированная утечка данных не представляет серьезной опасности и не позволяет осуществлять прямые атаки на устройства SecurID. Впрочем, недавно принятое решение говорит само за себя. Согласившись на замену жетонов, производитель автоматически соглашается с тем, что проданные устройства более не способны обеспечивать гарантированную защиту.
Арт Ковиелло (Art Coviello), председатель RSA Security по вопросам безопасности, утверждает, что, стремясь избежать огласки, компания действовала исключительно в интересах своих клиентов. Информация об уязвимости технологии SecurID, ставшая достоянием общественности, могла оказаться для хакеров сигналом к действию и спровоцировала массовые кибератаки. Впрочем, в свете последних событий этой утверждение кажется спорным. Злоумышленники прекрасно обошлись без «подсказок» и вооружившись полученными данными провели несколько успешных атак. Одной из первых жертв хакеров оказался известный оборонный подрядчик Lockheed Martin, использующий технологии RSA для защиты своих секретов. Таким образом, не предупредив пользователей об опасности, RSA оказала им настоящую «медвежью услугу».
Сейчас руководство компании в тесном сотрудничестве с клиентами пытается решить возникшие проблемы. Имена потенциальных жертв не оглашаются, однако есть информация, что под ударом оказались ряд крупных предприятий и корпораций, включая компании Northrop Grumman и L-3 Communications, также выполняющие оборонные контракты.
По материалам сайта ArsTechnica.
