EMC旗下安全巨头RSA遭黑客入侵,令客户和分析人士怀疑,使用数百万个用于登录企业it系统的一次性密码令牌是否仍然安全。
RSA的执行主席Art Coviello说在一封公开信中写道该公司周四在其网站上宣布,黑客发动了一场“极其复杂的网络攻击”,使其SecurID产品面临风险。
SecurID是一种双因素认证产品。用户登录企业IT系统时,需要使用用户名,然后输入一个4位数字的个人识别码和一个6位数字的一次性密码。
密码是由一个令牌生成的,即一个按下令牌时显示数字的小设备,不过也可以只使用软件生成密码。这个数字是通过使用RSA算法和所谓的种子记录生成的,种子记录是一个包含在令牌上的唯一密钥,加上一天中的时间。当这个信息被远程的RSA服务器验证后,这个人就可以进入系统。一次性密码将在30秒或60秒后失效。
RSA也有种子记录的副本。尽管RSA还没有明确说明黑客是否能够从其系统中提取种子记录,但如果他们这样做了,对RSA客户来说可能是非常糟糕的。
IDC分析师在2010年10月写道,RSA凭借其SecurID认证和访问控制产品成为科技安全市场“无可争议的市场领导者”。RSA表示,SecurID在全球至少3万个组织中有4000万人在使用。
黑客工具,包括一个叫该隐和亚伯,可使用种子记录计算令牌数。这是可能的,因为SecurID使用的算法是反向设计的,并在10多年前发布在互联网上。
黑客要想远程访问账户,唯一需要的其他信息是用户名,这可以通过社交工程获得,还有个人的四位数字识别码。
“这是可行的,考虑到RSA已经要求客户专注于阻止基于社会工程的攻击(这可能被用来获取用户相应的PIN码),这种情况可能会令人担忧,”专门从事渗透测试和反向工程的NGS Secure首席安全顾问杰森·杰夫纳说。
在周四提交给美国证券交易委员会的一份文件中,RSA发布了指南它是给顾客的。RSA在声明中表示,其客户应该“重新教育员工避免可疑电子邮件的重要性,并提醒他们在没有核实个人身份和权威的情况下,不要向任何人提供用户名或其他凭证。”
RSA没有说明黑客获得了哪些信息,但表示这似乎不会对SecurID的使用构成直接威胁。
”,而这个时候我们相信信息提取不使一个成功的直接攻击RSA SecurID客户,这些信息可能被用来减少当前的双因素身份验证实现的有效性作为一个更大的攻击,”该公司表示。
RSA的曝光引发了一波担忧。
一位评论者在Slashdot的IT博客上写道:“我可以想象,当我们公司的IT人员发现这件事时,情况会如何发展。”“他们会恐慌,撤销所有的SecureID卡,然后就再也不能在家工作了,直到找到更复杂、不可靠、可能需要Windows 7的东西来取代它。”
RSA一家出售SecurID的英国主要合作伙伴的一位管理人士说,除了RSA已经公开发布的信息,他的公司还没有收到更多的信息。“据我们所知,我们的服务安全没有任何问题,”该公司营销经理斯图尔特·豪登(Stuart Howden)说。
16年前,当安迪•肯沙尔(Andy Kemshall)进入RSA时,他是RSA在欧洲的第五位员工。在担任售前技术顾问之后,他于9年前离开RSA,创办了自己的公司SecurEnvoy,该公司销售一种双因素认证产品,通过短信向用户的手机发送一次性密码。
Kemshall说,在这一点上,组织能够完全保护自己的唯一方法是拔掉他们的RSA服务器,直到RSA说他们是否需要重新发放令牌给客户。
“RSA没有承认种子记录被泄露,但也没有否认,”Kemshall说。“如果它与这些种子记录有关,那么唯一的出路就是所有这些token都是无效的,必须被替换。”
Kemshall的产品直接与RSA竞争。他表示,他的手机周五一直响个不停,RSA的客户都在问他问题。
不过,Next Generation的Geffner说,在计算机安全方面,没有任何组织可以做到刀枪不入,因为新的漏洞总是被发现,社会工程攻击的目标是薄弱环节。
Geffner说:“RSA在这次事件后向客户提供的建议值得称赞。”
发送新闻提示和评论到jeremy_kirk@idg.com