对于任何一个公司,使其生活销售安全,这是一场噩梦成真。本周,RSA安全承认黑客闯入其网络三个月前偷了SecurID标记信息,然后使用这些信息来攻击一个客户,洛克希德·马丁公司。
RSA似乎认为绝大多数的客户没有直接威胁到窃听事件,但该公司的声誉受到打击。和用户和专家都炮轰RSA不清楚究竟是什么,以及它如何可能影响他们。
要求披露更多关于3月黑客事件本周只有声音,洛克希德·马丁公司确认后,补发RSA令牌全公司的攻击,和之后RSA开始提供更换令牌对任何顾客问。
不披露发生了什么,RSA让客户很难理解他们所面临的风险和做出明智的决定,实践引导蒂埃里Zoller说Verizon业务卢森堡。“是时候让他们来清洁,”他说。“不坦白他们创造更多的恐惧、不确定性和怀疑比必要的。”
RSA表示,黑客是复杂的,但它已经模糊的关于什么他们设法偷。本周该公司所能做的最好是确认“攻击导致某些信息被提取RSA的系统与RSA SecurID多因素身份验证的产品。”
从RSA即使没有一个明确的答案,一些安全专家洛克希德·马丁公司的事件证明了黑客闯入RSA的系统现在可以克隆SecurID令牌和使用它们进入网络。
如果这是真的,这是可能的攻击是如何工作的。
袭击者似乎获得RSA的种子数量的数据库,在RSA的说法称为“令牌记录”。这些数字实际上是构建块用于创建六位数登录数字RSA令牌生成每六十秒左右。令牌是广泛使用的由政府、承包商和银行添加第二个与计算机密码的安全层。
种子数量,技术型黑客可以找出登录号码SecurID令牌生成在任何给定的时间。但是,诀窍就是找出哪些特定令牌受害者被使用。这不是显而易见的。RSA称她们已经运送了4000万令牌,所以需要一些工作联系某个特定用户的种子数量SecurID令牌。
犯罪可以实现通过伪装成一名网络管理员和电子邮件一个受害者,告诉他们访问一个网站,登录密码和SecurID登录号码。只有连续登录,黑客可以找出哪些数以百万计的种子被用来生成登录号码。或者他们可以识别种子数量要求受害者进入令牌的序列号,说作为一个安全审计的一部分,然后看序列号在他们偷来的数据库。
是否所有RSA客户需要担心这种类型的攻击还不清楚。可能是谁砍的公司只是寻找种子数量与一个特定的客户——洛克希德·马丁公司,例如。也可能是黑客即将发布的情况下所有的种子数量在一个公共网站,发送所有SecurID客户纷纷寻找掩护。它可能是RSA实际上并不知道多少数据。
缺乏一个清晰的解释已经导致了许多安全专家悄悄议论。
“RSA的情况已经持续了几个月,有谣言说不缺什么了,和没有真正指导从RSA风险客户(至少没有NDA)外,“丹Kaminsky写道,一个独立的安全研究员,在最近的分析。
混乱导致感知一些问题关于其产品的RSA,首席安全官说,一位不愿透露姓名的公司,因为他不想危及他的公司与RSA的母公司的关系,EMC。“作为一个买家,他们的名字是我远离的东西,”他说。“你想把你的名声,不知道够吗?”
RSA说它不能说任何更多关于是什么,或由谁“安全原因”。People familiar with the situation said disclosing exactly what data was taken could potentially harm the reputation of some RSA customers, which is something RSA is taking pains to avoid.
克里斯托弗·伊普森内华达州的首席信息安全官,说他的组织计划接受RSA提供补发SecurID令牌。但是他说,他理解为什么RSA可能不愿释放攻击的细节。“你不想给太多的信息的利用,”他说。“但是有一个适当的时候充分披露是必要的。”
RSA攻击三个月后,有多远是“适当的时间”吗?
“我认为我们真的结束,”伊普森说。
罗伯特·麦克米兰涵盖了计算机安全和通用技术新闻IDG新闻服务。在Twitter上关注罗伯特@bobmcmillan。罗伯特的电子邮件地址robert_mcmillan@idg.com