- March 17, 2011- Un moment marquant de l'histoire de la sécurité des systèmes d'information!
Peut être aussi un changement de paradigme pour la protection de notre identité numérique ?
Question simple: Pourquoi ne pas inverser l'approche? L'utilisateur est propriétaire de son Token ! En d'autre termes il possède son "Seed" et le partage uniquement avec le serveur d'authentification de son choix. Juste une idée !
Cf présentation du 16 mars 2011 au IT Security Days - Heig-VD Yverdon
A méditer
Source Wikipédia / 21.03.2011
"On March 17, 2011, RSA announced that they had been victims of "an extremely sophisticated cyber attack"[5]. Concerns were raised specifically in reference to the SecurID system, saying that "this information could potentially be used to reduce the effectiveness of a current two-factor authentication implementation." However, their formal SEC 8K submission[6] indicates that they don't believe the breach will have a "material impact on its financial results." The extent of the compromise and the associated risk to customers will not be known until further details have been released.
There are some hints that the breach involved the theft of RSA's database mapping token serial numbers to the secret token "seeds" that were injected to make each one unique. Reports of RSA executives telling customers to "ensure that they protect the serial numbers on their tokens" lend credibility to this hypothesis."
Mesures "simples" pour limiter les risques ! Juste des pistes de brain storming:
- Mettre en place une politique de sécurité plus forte pour les PIN Code
- Activer le "lockout PIN Code" pour tous les utilisateurs
- Changer les PIN Code de tous les Tokens
- Sensibiliser les utilisateurs aux bonnes pratiques de sécurité
- Surveillance des logs (Brute Force, failed authentications, next token) - intégration avec un SIEM ?
- Hardening de la DD du serveur d'authentification - Segmentation par Firewall, Hardening system, Admin nominatif
- Contactez le Support RSA Security via Secure Care Online
- Prendre contact avec son intégrateur ou RSA Security pour avoir plus d'information
- Passer en mode OTP via SMS (Authentication Manager Only) ?
- Passer en mode Lost Token avec une liste à biffer (Ace Server)
- Changer tous les Tokens SecurID?
- Demander des nouveaux Seeds ?
- Demander un Technical Risk Assessment ?
- Un Pentest ?
- Changer de système d'authentification ?
- Une modélisation des menaces ?
- Mesuser le risque technique ?
- SuisseID ?
- Standards Open OATH (HOTP, TOTP, OCRA) ?
- Une Bingo Card ?
- etc,
Plus d'information sur le sujet:
Sample SecurID Token Emulator with Token Secret Import
20/03/11: Understanding the Impact of the RSA SecurID Breach
http://en.wikipedia.org/wiki/SecurID
Cryptanalysis of the Alleged SecurID Hash Function
Open Letter to RSA Customers
EX-99.2 3 dex992.htm RSA SECURCARE ONLINE NOTE
Déclaration 8-K 1 d8k.htm FORM 8-K au March 17, 2011
Attaque APT chez RSA : des millions de clients vulnérables ?
Compromission de RSA : Kerckhoffs #FAIL ? par SID
Schneier on Security RSA Security, Inc Hacked
The RSA/SecurID Compromise: What is my risk?
The RSA SecurID Problem
RSA SecurID Compromised – The End of One-Time-Passwords (OTP) ?
RSA SecurID Token Calculator by http://www.oxid.it (Software OTP)
Some new Information by Scott Crawford / design could enable others to try to compromise our customers’ RSA SecurID
Android Enabled As SecurID Authentication Device
RSA SecurID incident should serve as a wake up call on strong OTP user authentication / Gartner Blog
RSA compromise: Impacts on SecurID / Jeff Jarmoc, Dell SecureWorks' Counter Threat Unit Intelligence Services
RSA SecurID Hack - My Opinion by Paul C Dwyer (ICTTF - International Cyber Threat Task Force)
Hack RSA : la suite de l'histoire / SecurityVibes
-----------------------------------------------------------------------------------
Exemple de RSA SecurID Token Calculator by oxid.it
Quelles sont les motivations de l'attaque ?
Essayer de comprendre par la modélisation des menaces: et une piste après plus de 6 ans: La fameuse directive FFIEC ! Un marché énorme.
2005 the FFIEC issued guidelines for online user authentication
Get Ready for new U.S. bank IT Security Guidance from the FFIEC / January 12, 2011 Gartner
RSA Security to enable ubiquitous authentication as RSA SecurID(r) technology reaches everyday devices and software / Article du February 15, 2006
RSA breach leaks data for hacking SecurID tokens / 'Extremely sophisicated' attack targets 2-factor auth / The Register 18th March 2011 00:39 GMT
A méditer: "If the cryptographic algorithm must remain secret in order for the system to be secure, then the system is less secure." cf Kerckhoffs's Principle
Thanks to starbuck3000 / SID / Spoint / JS / Nick / Hervé for your help
Note: ma 1ere hypothèse est que les seeds sont dans la nature ? Mais cela reflète que mon avis.
SMA le 23.03.2011
Dernière mise à jour: le 30 avril 2011
2 commentaires:
Je trouve l'hypothèse avec la directive FFIEC très intéressante. Merci de l'avoir soumise !
C'est effectivement une piste qui donne du sens .....
Mais pas facile de savoir vraiment la réalité dans cette affaire.
Enregistrer un commentaire