RSA SecurID双令牌认证系统是否包括一个后门,它是应美国政府的要求而内置的,以换取RSA出口SecurID?
一些不愿透露姓名的行业分析师表示:“RSA与政府达成协议,为监控工作提供后门。”他们说这个交易让RSA输出了SecurID。RSA今天既不承认也不否认这一点,这表明它从那时起就限制了对SecurID的讨论上周对网络入侵的披露SecurID的“某些信息”被窃取。
“当然可以,”说安全技术专家和作家布鲁斯·施奈尔。“在80年代,这种东西很流行。还记得密钥托管吗?还记得Lotus Notes中的后门吗?SecurID已经足够老了,美国国家安全局可能会提出要求,而出口可能就取决于它。”但施奈尔表示,他对此没有直接的了解。
其他人则说,他们只是觉得很难相信RSA SecurID中存在这样一个后门。
企业战略集团(Enterprise Strategy Group)首席分析师乔恩•奥尔提克(Jon Oltsik)表示:“这是极不可能的。”但他指出,如果这是真的,那么任何使用SecurID的人都将面临风险。但奥尔提克重申,他认为在SecurID中设置后门的想法是不可信的。
RSA表示,此次泄密事件所带来的法律约束令其无法直面SecurID后门的问题。
但如果存在任何后门,其影响尤其令人不安,因为RSA上周承认,与SecurID有关的“某些信息”被侵入RSA网络的秘密攻击所窃取,但没有提供太多细节。RSA执行主席阿特•科维耶洛(Art Coviello)将这次攻击称为“高级持续威胁”,这个词的意思是黑客潜入公司窃取敏感信息。
要求不透露姓名的业内分析人士表示,他们坚信RSA SecurID有美国国家安全局(NSA)参与的政府监控的后门。他们认为,这是RSA上周就这起泄密事件发表如此神秘声明的主要原因。RSA表示,这起泄密事件与SecurID产品有关。SecurID是一种基于服务器和令牌的双因素认证系统,可以生成一次性密码。
事实上,很多人对科维耶洛3月17日发表的声明感到困惑:“虽然目前我们确信,提取的信息不会对我们的任何SecurID客户进行成功的直接攻击,但这些信息可能会被用于降低当前双因素身份验证实施的有效性,作为更广泛攻击的一部分。”
许多人正在寻找RSA关于SecurID是否脆弱的声明很难理解.昨天,RSA向SecurID客户发布了另一份“RSA SecurCare在线说明”,作为“更新”,以“帮助客户进一步评估他们的风险,并优先考虑与此事件相关的补救措施。”
RSA在其“事件概述”中表示,“为了破坏任何RSA SecurID部署,攻击者需要拥有关于令牌、客户、个人用户和他们的pin的多条信息。”其中一些信息永远不会由RSA持有,只由客户控制。为了发动一次成功的直接攻击,需要有人掌握所有这些信息。”
RSA昨天向SecurID客户发出的建议敦促他们特别积极地确保帮助台管理员“在代表他们执行任何帮助台操作之前核实用户的身份”,并“定期教育用户如何避免网络钓鱼攻击”。
该建议还敦促密切监控Authentication Manager日志,以防止“异常高的认证失败率和/或下一次Tokencode Required”事件。“如果检测到这些类型的活动,您的组织应该准备识别正在使用的接入点并关闭它们。”
RSA还表示,在其内部制造和分销RSA SecurID令牌和其他产品的业务中,“一些操作被中断”,而RSA试图“强化”其环境,但公司希望“尽快恢复分销,并将在可用时分享相关信息。”
一些分析师也对EMC RSA Access Manager提出了疑问服务器5.5.6.0 x。6.1 x和。上周,RSA痛苦地披露了黑客是如何侵入其网络的。与此同时,美国国家标准与技术研究所(NIST)维护的国家漏洞数据库也报告了这一信息。
CVE-2011-0322的漏洞摘要称,在这些版本的EMS RSA Access Manager Server中发现了一个“未指明的漏洞”,允许“远程攻击者通过未知向量访问资源”。RSA说他们已经解决了这个问题,RSA的一位发言人说,Access Manager Server和SecurID的信息同时公布只是一个巧合。
一位发言人表示,“这与SecurID和泄密事件完全无关”,并补充说,美国国家漏洞数据库(National Vulnerability Database)的Access Manager安全报告代表的是“正常的产品漏洞”,通常会被发现、报告和修复。