Konkrete Kritik an CVSS4
Marc Ruef
Dieser Artikel wurde das letzte Mal aktualisiert am 11. Oktober 2011 19:45 Uhr
Das Unternehmen RSA Security – es ist seit 2006 Teil der EMC Corp. – ist in erster Linie durch ihre Lösung SecurID bekannt geworden. Diese gilt als das wohl populärste Produkt zur Umsetzung strenger Authentisierung. Ein Benutzer muss dabei neben Benutzername und Passwort ebenfalls einen dritten Faktor mitgeben. Dieser wird durch einen SecurID-Token erzeugt. Dabei handelt es sich um einen sechs- bis achtstelligen Zahlencode, der alle 60 Sekunden aktualisiert wird. Durch eine vorgängige Synchronisation mit dem RSA-Server wird es durch eben diesen möglich, die Legitimität der Authentisierung zu erkennen. Sieht sich ein Angreifer in der Lage Benutzername, Passwort und Token abzufangen, kann er diese Daten maximal 60 Sekunden für eine erfolgreiche Authentisierung nutzen. Danach ist der dritte Faktor, der Zufallscode des Token, nutzlos.
Am 17. März 2011 veröffentlicht Art Coviello, CEO von RSA, auf der Unternehmenswebseite einen offenen Brief. In diesem weist er mit Bedauern darauf hin, dass eine Kompromittierung der RSA-Systeme stattgefunden hat und eine nicht näher definierte Gefahr für die SecurID-Lösungen besteht:
Recently, our security systems identified an extremely sophisticated cyber attack in progress being mounted against RSA. (…) Our investigation also revealed that the attack resulted in certain information being extracted from RSA’s systems. Some of that information is specifically related to RSA’s SecurID two-factor authentication products.
In diesem Zusammenhang wird der umstrittene Begriff APT (Advanced Persistant Threat) genutzt, um auf die technische Überlegenheit der Angreifer hinzuweisen. Technische Details zur Attacke oder den betroffenen Komponenten werden nicht genannt.
Tage nach der Veröffentlichung dieses Schreibens wurde durch Uri Rivner, Head of New Technologies, ein eher technischer Blog-Post herausgegeben. In diesem wird das grundlegende Vorgehen der Angreifer skizziert (Zusammenfassung):
The attacker in this case sent two different phishing emails over a two-day period. The two emails were sent to two small groups of employees; you wouldn’t consider these users particularly high profile or high value targets. The email subject line read “2011 Recruitment Plan.” (…) The spreadsheet contained a zero-day exploit that installs a backdoor through an Adobe Flash vulnerability (CVE-2011-0609). (…) As you know, the next step in a typical APT is to install some sort of a remote administration tool that allows the attacker to control the machine. In our case the weapon of choice was a Poison Ivy variant set in a reverse-connect mode that makes it more difficult to detect, as the PC reaches out to the command and control rather than the other way around.
So schien es, als würde wirklich jemand eine zielgerichtete Attacke gegen RSA umsetzen wollen. Die technische Umsetzung dieser war jedoch nicht besonders ausgeklügelt, da sie sich vorwiegend auf altbekannte Mechanismen und Schwachstellen verliess. Ob die Angreifer wirklich von Anfang an darum bemüht waren, technische Details zur SecurID-Lösung zu erlangen, lässt sich zur Zeit nicht sagen.
Nach Veröffentlichung dieser Mitteilung wurde auf Twitter, in Blogs und den Medien sehr viel über den Fall berichtet. Aufgrund der sehr dünnen Faktenlage wurden Mutmassungen in alle Richtungen angestossen. Zuerst ging man davon aus, dass technische Details zur Umsetzung der RSA-Lösung – vielleicht sogar der Programmcode der eingesetzten Komponenten – gestohlen wurde.
Dies wäre vor allem für Mitbewerber von Interesse, die um den Nachbau oder die Herstellung von kompatiblen Komponenten bemüht sind. Für die Sicherheit der Lösung hätte dies eigentlich, wäre sie denn designtechnisch intelligent umgesetzt, keinen weitreichenden Einfluss. Denkbar wäre das Finden und Ausnutzen einer bis dato unbekannten technischen Schwachstelle.
Viel eher ist jedoch anzunehmen, dass das Root Seed File gestohlen wurde. Hierbei handelt es sich um einen 16-stelligen Code, der für die Individualisierung aller Token eingesetzt wird. Der Seed hat direkten Einfluss auf die Generierung der Codes durch das Token. RSA speichert die Zuweisung der Seeds zu Token, um eine entsprechende Authentisierung beglaubigen zu können.
Befindet sich jemand im nur Besitz dieser Seed-Daten, kann er theoretisch keinen Rückschlüss der Zuweisung zu einem Token umsetzen. Es bleibt zu hoffen, dass RSA die Seets getrennt von der Zuweisung aufbewahrt hat und sie nicht zusammen im Rahmen des Angriffs entwendet wurden.
Doch auch mit einem Seed alleine können für einen Angreifer Vorteile entstehen. Durch das Mitlesen eines legitimen Token-Codes und das Wissen dessen zugrundeliegenden Seeds kann er ein Reverse Engineering anstreben und dadurch zukünftigen Token-Codes errechnen. Damit wäre der Zeitfaktor, der als entscheidender Vorteil von SecurID-Lösungen gilt, nichtig. Befindet sich ein Angreifer einmal im Besitz eines legitimen Codes, kann er nach Belieben das Token auf mathematischer Ebene emulieren.
Ein davon betroffenes Token gilt als in der Praxis gebrochen und muss zurückgesetzt werden. Dies ist mit erheblichem Aufwand für die Nutzer und Betreiber einer SecurID-Lösung verbunden. Die Anwender müssen die Token zurückschicken, die Betreiber diese zurücksetzen und wieder ausliefern.
Fakten | Quelle |
---|---|
RSA wurde Opfer eines Datendiebstahls | RSA/Coviello |
Teile zum SecurID-System wurden entwendet | RSA/Coviello |
Wird negative Auswirkung auf Sicherheit von SecurID haben | ⇒ Konklusion |
Angriff wurde mit Spear-Phishing initiiert | RSA/Rivner |
Excel-Dokument nutzte Schwachstelle in Flash (CVE-2011-0609) aus | RSA/Rivner |
Poison Ivy wurde für Remote-Zugriff (Reverse-Connect) installiert | RSA/Rivner |
Zwei unterschiedliche Gruppen sind in Angriff involviert | RSA Conference London |
Erfolgreicher Angriff daraus gegen Lockheed Martin Corp | reuters.com nytimes.com |
RSA ersetzt 40 Millionen kompromittierte SecurID-Token | RSA/Coviello |
Mutmassungen | Quelle |
Root Seed Files der Token wurden entwendet | nytimes.com |
Zuweisung Seed/Token wurde entwendet | nytimes.com (teilweise) |
Programmcode von SecurID-Komponenten wurde entwendet | ⇒ Gegenargument |
Klonen von SecurID-Token möglich | reuters.com, wired.com |
0-Day Schwachstellen in SecurID wurden gefunden | slashdot.org, @indi303 |
Erfolgreiche Angriffe daraus schon umgesetzt | nsslabs.com |
Erfolgreicher Angriff daraus gegen L-3 Communications | wired.com |
Angriff wurde von staatlichen Stellen orchestriert | RSA Conference London |
Angriff auf RSA sollte Attacken auf Kunden ermöglichen | RSA Conference London |
Es ist fragwürdig, warum sich RSA in Bezug auf technische Details und Konsequenzen des Problems sehr bedeckt hält. Das Hinauszögern der durch die Kunden erwarteten Transparenz scheint lediglich den Angreifern in die Hände zu spielen. Der grosse Nachteil wird hierbei auf die Kunden abgewälzt.
Angeblich hat RSA vorgängig grössere Regierungsbehörden über den Zwischenfall informiert, damit diese grundlegende Massnahmen ergreifen können. Mittlerweile mehren sich auch die Berichte unserer Kunden, dass diese zwischenzeitlich auf die Nutzung von SecurID verzichten und stattdessen andere Mechanismen zur strengen Authentisierung einsetzen werden (z.B. Konkurrenzprodukte, SMS, TAN, etc.). EMC führt unabhängig davon einige generische Massnahmen in einem publizierten PDF-Dokument auf.
Wir raten unseren Kunden in Hochsicherheitsumgebungen ebenfalls zu diesem Schritt. SecurID-Lösungen in weniger kritischen Umgebungen sollten unter Beobachtung gestellt und bei verdächtigen Aktivitäten sofort reagiert werden. Bisher sind keine Angriffsversuche, die in verlässlicher Weise auf den genannten Datendiebstahl zurückzuführen sind, bekannt. Werden solche publik, sollte aber unbedingt sofort reagiert werden.
Erweiterung der Mutmassungen bezüglich Zuweisung Seed/Token und 0-Day Schwachstellen.
In der vergangenen Woche wurde unser Stefan Friedli von der Gratiszeitung 20 Minuten zum Fall interviewt. Sein Expertenkommentar ist ebenfalls online verfügbar. Ebenso wurde die Mutmassung der schon umgesetzten erfolgreichen Angriffe hinzugefügt.
RSA hat einige grundlegende technische Details zur Umsetzung des Angriffs publik gemacht. Die darin enthaltenen Aussagen wurden in die Auflistung der Fakten übernommen.
Der Hinweis auf das RAT-Tool Poison Ivy wurde den Fakten hinzugefügt. Zudem wurde das ursprüngliche Statement bezüglich APT (Advanced Persistant Threat) relativiert.
Hinweis auf den vermeintlich erfolgreichen Angriff auf Lockheed Martin Corp als Mutmassung hinzugefügt.
Hinweis auf den vermeintlich erfolgreichen Angriff auf L-3 Communications sowie die Mutmassung der Möglichkeit des Klonen von SecurID-Token hinzugefügt.
Anpassung des Hinweis von Lockheed Martin, dass der identifizierte Angriff auf ihre Infrastruktur tatsächlich auf den Einbruch bei RSA zurückzuführen ist.
Art Coviello erklärt in einem offenen Brief, dass die kompromittierten SecurID-Token ersetzt werden sollen.
Art Coviello und Tom Heiser nutzten ihre Eröffnungsansprachen zur RSA Conference in London, um Einzelheiten der Angriffe im März zu erläutern. Dabei äusserten sie die Vermutung, dass voraussichtlich staatliche Stellen hinter dem erfolgreichen Angriff stecken. Hierbei konnten zwei unabhängig voneinander agierende Gruppen als potentielle Täterschaft ausgemacht werden. Ziel des Angriffs war angeblich nicht RSA selber, sondern mittelfristig die Kunden des Unternehmens.
Das Paper Command and Control in the Fifth Domain diskutiert die technischen Hintergründe des Angriffs. Dabei werden die Infektions- und Kommunikationswege im Detail besprochen.
Unsere Spezialisten kontaktieren Sie gern!
Marc Ruef
Marc Ruef
Marc Ruef
Marc Ruef
Unsere Spezialisten kontaktieren Sie gern!