English version of this article

Inleiding

Op 18 maart 2011 heeft RSA bekendgemaakt dat een zeer geavanceerde aanval heeft plaatsgevonden op zijn IT-systemen. Daarbij zijn gegevens buitgemaakt die betrekking hebben op SecurID-producten.

Rol Onsight

Onsight is Affiliate Elite Partner van RSA en adviseert en implementeert producten van RSA aan zijn klanten, waaronder de SecurID-producten. Via deze website adviseren wij onze klanten en overige geïnteresseerden over de ontwikkelingen rondom de RSA cyber attack.

Best practice-richtlijnen

RSA adviseert klanten met SecurID-producten de best practice-richtlijnen te volgen. Rechts op de pagina kunt u deze documenten downloaden. Daar vindt u ook andere documenten met meer informatie.

Ondersteuning

Onze business consultants kunnen u helpen bij het controleren van uw security-omgeving en het implementeren van de best practices. Ook kunnen zij u informeren over aanvullende maatregelen die u kunt nemen om het beveiligingsniveau van uw IT-omgeving te verhogen. Wilt u meer informatie over de mogelijkheden om u hierbij te ondersteunen? Neem dan contact met ons op om uw wensen te bespreken.

Meer informatie

Heeft u vragen of wilt u meer informatie over dit onderwerp? Neem dan contact op met Peter Pronk, technisch directeur van Onsight. Hij is telefonisch bereikbaar op +31 26 352 01 00 en per e-mail: peter.pronk@onsight.nl.

Veel gestelde vragen

Hoe is het begonnen?

Op 18 maart 2011 heeft RSA Executive Chairman Art Coviello een brief gepubliceerd http://www.rsa.com/node.aspx?id=3872 waarin wordt aangegeven dat RSA is getroffen door een APT cyber attack (Advanced Persistent Threat). Hierbij is op een zeer geraffineerde manier informatie gestolen met betrekking tot het RSA SecurID product. RSA heeft aangegeven dat het algoritme om de tokencodes te berekenen niet is gestolen.

Hoe zat de aanval in elkaar?

Op http://blogs.rsa.com/rivner/anatomy-of-an-attack/ is te lezen hoe de aanval is gepleegd.

Waar zit het gevaar?

Aangenomen dat de hacker beschikt over de seed records, is er theoretisch meer kans dat een succesvolle aanval kan worden gepleegd. Als een aanvaller succesvol een bedrijfsnetwerk binnen wil komen, dan zijn meerdere factoren nodig zoals het algoritme voor berekening van de token-code, de login-naam van de gebruiker, de pincode, het serienummer van het token, het bijbehorende seed record, de URL van de portal en de combinatie login-naam/password van de applicaties achter de portal. De beste manier om aan deze informatie te komen, is door social engineering. De werkplekken worden besmet met spionagesoftware doordat gebruikers/beheerders worden verleid om in mail attachments te klikken of naar bepaalde websites te gaan. Dit kan alleen worden voorkomen als iedereen zich meer bewust is van de gevaren, dus 'security aware' te zijn. Bij verdachte e-mails moet de nieuwsgierigheid worden bedwongen.

Wat is een seed record?

Aangenomen wordt dat de zogenaamde seed records zijn gestolen. Een seed record is een symmetrische encryptiesleutel, een zogenaamd shared secret tussen de authenticator (token) en de authenticatie server. Op basis van de tijd wordt volgens een bepaald algoritme iedere 60 seconden een nieuwe token-code gegenereerd. Samen met een pincode wordt deze token-code als password gebruikt. De server kan door dezelfde berekening uit te voeren controleren of dit password klopt.

Wat moet ik nu als RSA SecurID-klant?

In een open brief van Art Coviello http://www.rsa.com/node.aspx?id=3891 heeft RSA naar aanleiding van een aantal aanvallen die in verband worden gebracht met de RSA cyber attack, aangegeven bereid te zijn klanten te voorzien van vervangende tokens. Wereldwijd zijn momenteel 40 miljoen tokens in omloop. Onder welke voorwaarden een dergelijke vervanging exact wordt gedaan, is nog niet bekend. Klanten die voor vervanging in aanmerking willen komen zullen in ieder geval moeten beoordelen of de best practice- documenten zijn gevolgd en of de gebruikers security aware zijn. Mogelijk dat met deze richtlijnen in combinatie met een grotere security awareness de kans op een succesvolle aanval voldoende kan worden gereduceerd.

Hoe kan de RSA SecurID-omgeving het beste worden ingericht?

RSA heeft een aantal best practices-documenten met daarin richtlijnen voor het inrichten van RSA SecurID omgevingen. Deze zijn te downloaden van http://rsa.com/node.aspx?id=3876