Из Википедии, бесплатной энциклопедии
Перейти к навигации Перейти к поиску

RSA SecurID , ранее называвшийся SecurID , представляет собой механизм, разработанный RSA (дочерней компанией Dell Technologies ) для выполнения двухфакторной аутентификации пользователя на сетевом ресурсе.

Описание [ править ]

Токен RSA SecurID (старый стиль, модель SD600)
Токен RSA SecurID (модель SID700)
RSA SecurID (новый стиль, модель SID800 с функцией смарт-карты)

Механизм аутентификации RSA SecurID состоит из « токена » - аппаратного (например, брелока ) или программного обеспечения ( программный токен ), который назначается пользователю компьютера и который создает код аутентификации через фиксированные интервалы (обычно 60 секунд) с использованием встроенные часы и закодированный на заводе почти случайный ключ карты (известный как «семя»). Начальное значение различается для каждого токена и загружается на соответствующий сервер RSA SecurID (RSA Authentication Manager, ранее ACE / Server [1] ) по мере покупки токенов. [2] Также доступны токены по запросу, которые предоставляют токен-код по электронной почте или с помощью SMS, избавляя от необходимости предоставлять токен пользователю.

Аппаратное обеспечение токена спроектировано таким образом, чтобы быть защищенным от несанкционированного доступа для предотвращения обратного проектирования . Когда на рынке появились программные реализации того же алгоритма («программные токены»), сообществом специалистов по безопасности был разработан открытый код, позволяющий пользователю эмулировать RSA SecurID в программном обеспечении, но только если у него есть доступ к текущему коду RSA SecurID, и исходный 64-битный исходный файл RSA SecurID, представленный на сервере. [3] Позже 128-битный алгоритм RSA SecurID был опубликован как часть библиотеки с открытым исходным кодом. [4] В схеме аутентификации RSA SecurID начальная запись - это секретный ключ, используемый для генерации одноразовых паролей . В более новых версиях также есть USB-разъем, который позволяет использовать токен в качествеустройство, подобное смарт-карте, для безопасного хранения сертификатов . [5]

Пользователь, аутентифицирующийся на сетевом ресурсе, например, на сервере удаленного доступа или межсетевом экране, должен ввести как личный идентификационный номер, так и номер, отображаемый в данный момент на их токене RSA SecurID. Хотя все чаще и чаще, некоторые системы, использующие RSA SecurID, полностью игнорируют реализацию ПИН-кода и полагаются на комбинации пароля / кода RSA SecurID. Сервер, который также имеет часы реального времени и базу данных действительных карт с соответствующими начальными записями, аутентифицирует пользователя, вычисляя, какое число токен должен показывать в данный момент времени, и сравнивая его с введенным пользователем. .

В более старых версиях SecurID можно использовать «PIN-код принуждения» - альтернативный код, который создает журнал событий безопасности, показывающий, что пользователь был вынужден ввести свой PIN-код, при этом обеспечивая прозрачную аутентификацию. [6] Использование PIN-кода по принуждению позволит выполнить одну успешную аутентификацию, после чего токен будет автоматически отключен. Функция «ПИН-код по принуждению» устарела и недоступна в поддерживаемых в настоящее время версиях.

Хотя система RSA SecurID добавляет уровень безопасности в сеть, могут возникнуть трудности, если часы сервера аутентификации не синхронизируются с часами, встроенными в токены аутентификации. Нормальный уход часов токена автоматически учитывается сервером путем корректировки сохраненного значения «дрейфа» с течением времени. Если состояние рассинхронизации не является результатом обычного дрейфа часов аппаратного маркера, исправление синхронизации часов сервера Authentication Manager с маркером рассинхронизации (или маркерами) может быть выполнено несколькими различными способами. Если часы сервера сместились и администратор внес изменения в системные часы, токены могут быть повторно синхронизированы один за другим, или сохраненные значения смещения скорректированы вручную. Дрейф может быть выполнен для отдельных токенов или сразу с помощью утилиты командной строки.

RSA Security выдвинула инициативу под названием «Повсеместная аутентификация» в партнерстве с такими производителями устройств, как IronKey , SanDisk , Motorola , Freescale Semiconductor , Redcannon, Broadcom и BlackBerry, чтобы встроить программное обеспечение SecurID в повседневные устройства, такие как USB-накопители и сотовые телефоны. , чтобы снизить стоимость и количество предметов, которые должен носить пользователь. [7]

Теоретические уязвимости [ править ]

Коды токенов легко украсть, поскольку взаимной аутентификации не существует (все, что может украсть пароль, также может украсть код токена). Это важно, поскольку это основная угроза, которую, по мнению большинства пользователей, они решают с помощью этой технологии.

Самая простая практическая уязвимость с любым контейнером паролей - это потеря специального ключевого устройства или активированного смартфона со встроенной ключевой функцией. Такая уязвимость не может быть устранена с помощью какого-либо одного устройства-контейнера токенов в течение предварительно установленного периода времени активации. Дальнейшее рассмотрение предполагает предотвращение потерь, например, с помощью дополнительного электронного поводка или датчика тела и сигнализации.

Хотя токены RSA SecurID предлагают определенный уровень защиты от атак с повторением пароля , они не предназначены для защиты от атак среднего типа при использовании по отдельности. Если злоумышленнику удастся заблокировать авторизованного пользователя от аутентификации на сервере до тех пор, пока следующий код токена не станет действительным, он сможет войти на сервер. Аналитика на основе рисков (RBA), новая функция в последней версии (8.0), обеспечивает значительную защиту от этого типа атак, если пользователь включен и аутентифицируется на агенте, включенном для RBA. RSA SecurID не предотвращает атаки на основе « человек в браузере» (MitB).

Сервер аутентификации SecurID пытается предотвратить перехват пароля и одновременный вход в систему, отклоняя оба запроса аутентификации, если в течение заданного периода времени представлены две действительные учетные данные. Это было задокументировано в непроверенном посте Джона Г. Брейнарда. [8] Если злоумышленник лишает пользователя возможности аутентификации, сервер SecurID будет считать, что это пользователь, который действительно аутентифицируется, и, следовательно, разрешит аутентификацию злоумышленнику. В рамках этой модели атаки безопасность системы может быть улучшена с помощью механизмов шифрования / аутентификации, таких как SSL .

Хотя программные токены могут быть более удобными, критики указывают, что свойство защиты от несанкционированного доступа аппаратных токенов не имеет себе равных в реализациях программных токенов [9], что может позволить дублировать секретные ключи исходной записи и происходить олицетворение пользователя.

С другой стороны, жесткие токены могут быть физически украдены (или получены с помощью социальной инженерии ) у конечных пользователей. Малый форм-фактор делает кражу жестких токенов намного более жизнеспособной, чем сканирование ноутбука / настольного компьютера. Обычно пользователь ждет более одного дня, прежде чем сообщить об отсутствии устройства, что дает злоумышленнику достаточно времени для взлома незащищенной системы. Однако это могло произойти только в том случае, если также известны UserID и PIN пользователя. Аналитика на основе рисков может обеспечить дополнительную защиту от использования утерянных или украденных токенов, даже если злоумышленники знают UserID и PIN-код пользователя.

Батареи периодически выходят из строя, что требует сложной процедуры замены и повторной регистрации.

Прием и конкурирующие продукты [ править ]

По состоянию на 2003 год RSA SecurID контролировал более 70% рынка двухфакторной аутентификации [10], и на сегодняшний день произведено 25 миллионов устройств. [ необходима цитата ] Ряд конкурентов, например VASCO , производят аналогичные токены безопасности , в основном на основе открытого стандарта OATH HOTP . В исследовании OTP, опубликованном Gartner в 2010 году, упоминаются OATH и SecurID как единственные конкуренты. [11]

Другие системы сетевой аутентификации, такие как OPIE и S / Key (иногда более известные как OTP , поскольку S / Key является товарным знаком Telcordia Technologies , ранее Bellcore ) пытаются обеспечить уровень аутентификации «что-то, что у вас есть», не требуя оборудования. токен. [ необходима цитата ]

Взлом системы в марте 2011 г. [ править ]

17 марта 2011 года RSA объявила, что они стали жертвами «чрезвычайно изощренной кибератаки». [12] Особые опасения были высказаны в отношении системы SecurID, в которой говорилось, что «эта информация потенциально может быть использована для снижения эффективности текущей реализации двухфакторной аутентификации». Однако их официальная подача формы 8-K [13]указали, что, по их мнению, нарушение не окажет «существенного влияния на финансовые результаты». Нарушение обошлось EMC, материнской компании RSA, в 66,3 миллиона долларов, которые были взяты в счет прибыли за второй квартал. По словам исполнительного вице-президента и финансового директора EMC Дэвида Голдена в ходе конференц-связи с аналитиками, он покрыл расходы на расследование атаки, усиление защиты ИТ-систем и мониторинг транзакций корпоративных клиентов. [14]

Взлом сети RSA был осуществлен хакерами, которые отправили фишинговые письма двум целевым небольшим группам сотрудников RSA. [15] К письму был прикреплен файл Excel, содержащий вредоносное ПО . Когда сотрудник RSA открыл файл Excel, вредоносная программа использовала уязвимость в Adobe Flash. Эксплоита позволило хакерам использовать ядовитый плющ RAT , чтобы получить контроль над машинами и серверами доступа в сети RSA , . [16]

Есть некоторые намеки на то, что нарушение связано с кражей серийных номеров токенов, отображающих базы данных RSA, в секретные «семена» токенов, которые были введены, чтобы сделать каждый из них уникальным. [17] Отчеты руководителей RSA, призывающие клиентов «обеспечить защиту серийных номеров на своих токенах» [18], подтверждают эту гипотезу.

Исключение фатальной слабости в криптографической реализации алгоритма генерации кода токена (что маловероятно, поскольку оно включает простое и прямое применение тщательно изученного блочного шифра AES-128 [ необходима цитата ] ), единственное обстоятельство, при котором злоумышленник может провести успешную атаку без физического владения токеном, если произошла утечка самих исходных записей токена. [ необходима цитата ] RSA заявила, что не раскрывала подробностей о масштабах атаки, чтобы не давать потенциальным злоумышленникам информацию, которую они могли бы использовать при выяснении того, как атаковать систему. [19]

6 июня 2011 года RSA предложила замену токенов или бесплатные услуги по мониторингу безопасности любому из своих более чем 30 000 клиентов SecurID после попытки киберзащиты на заказчике защиты Lockheed Martin, которая, по всей видимости, имела отношение к информации SecurID, украденной у RSA. [20] Несмотря на последующую атаку на одного из заказчиков защиты, председатель компании Арт Ковьелло сказал: «Мы верим и по-прежнему верим в то, что заказчики защищены». [21]

Результирующие атаки [ править ]

В апреле 2011 года по неподтвержденным слухам, компания L-3 Communications была атакована в результате компрометации RSA. [22]

В мае 2011 года эта информация была использована для атаки на системы Lockheed Martin . [23] [24] Однако Lockheed Martin утверждает , что из - за «агрессивных действий» со стороны команды информационной безопасности компании, «Нет клиента, программы или сотрудник персональных данных» был скомпрометирован этим «значительным и цепкий атаки». [25] Министерство национальной безопасности и Министерство обороны США предложили помощь , чтобы определить масштабы атаки. [26]

Ссылки [ править ]

  1. ^ «Руководство по интеграции Oracle® Access Manager» (PDF) . Корпорация Oracle . Август 2007 г. [...] RSA ACE / Server®, который был переименован в Authentication Manager.
  2. ^ TOTP: алгоритм одноразового пароля на основе времени
  3. ^ Пример эмулятора токена SecurID с импортом секретного токена
  4. ^ stoken - Программный токен для Linux / UNIX
  5. ^ RSA SecurID SID800 Оборудование Authenticator архивации 13 ноября 2008, в Wayback Machine
  6. ^ "Архивная копия" . Архивировано из оригинала на 2012-03-01 . Проверено 20 марта 2013 .CS1 maint: заархивированная копия как заголовок ( ссылка )
  7. ^ RSA Security для обеспечения повсеместной аутентификации, поскольку технология RSA SecurID (r) достигает повседневных устройств и программного обеспечения; - M2 Presswire | HighBeam Research: онлайн-пресс-релизы [ мертвая ссылка ]
  8. ^ http://malpaso.ru/securid/brainard.htm
  9. ^ http://securology.blogspot.com/2007/11/soft-tokens-arent-tokens-at-all.html
  10. ^ "Решение RSA SecurID названо лучшим устройством аутентификации сторонних производителей по версии журнала Windows IT Pro Magazine Выбор читателей 2004" . RSA.com . 2004-09-16. Архивировано из оригинала на 2010-01-06 . Проверено 9 июня 2011 .
  11. ^ Диодати, Марк (2010). «Дорожная карта: замена паролей аутентификацией OTP» . Бертон Групп . Gartner ожидает, что форм-фактор аппаратного OTP будет продолжать расти скромно, в то время как OTP для смартфонов будут расти и со временем станут аппаратной платформой по умолчанию. ... Если организация не нуждается в обширной поддержке платформы, то технология на основе OATH, вероятно, будет более экономичным выбором.
  12. ^ «Открытое письмо клиентам RSA» .Первоначально онлайн на сайте RSA .
  13. ^ "Регистрация EMC / RSA 8K" . Форма 8-К . Комиссия по ценным бумагам и биржам США. 17 марта 2011 г.
  14. ^ Chabrow, Эрик (1 августа 2011). «Нарушение RSA обходится материнской EMC в 66,3 миллиона долларов» . GovInfoSecurity .
  15. ^ Rivner, Uri (1 апреля 2011). «Анатомия атаки» . Кстати о безопасности - блог и подкаст RSA . Архивировано из оригинала 20 июля 2011 года.
  16. Миллс, Элинор (5 апреля 2011 г.). «Атака на RSA с использованием флэш-эксплойта нулевого дня в Excel» . CNET . Архивировано из оригинала 17 июля 2011 года.
  17. ^ Goodin, Dan (24 мая 2011). «RSA не разговаривает? Предположим, что SecurID не работает» . Реестр.
  18. Мессмер, Эллен (18 марта 2011 г.). «Неужели хакеры раскрыли секрет RSA SecurID?» . Сетевой мир. Архивировано из оригинального 15 октября 2012 года.
  19. Брайт, Питер (6 июня 2011 г.). «Наконец-то RSA становится чистым: SecurID скомпрометирован» . Ars Technica.
  20. ^ Горман, Шивон; Тибкен, Шара (7 июня 2011 г.). «Жетоны безопасности» . Wall Street Journal.
  21. ^ Горман, Шивон; Тибкен, Шара (7 июня 2011 г.). «RSA вынуждена заменить почти все свои миллионы токенов после нарушения безопасности» . News Limited.
  22. Миллс, Элинор (6 июня 2011 г.). «Китай связан с новыми нарушениями, связанными с RSA» . CNet.
  23. Лейден, Джон (27 мая 2011 г.). «Lockheed Martin приостанавливает удаленный доступ после сети„вторжение » . Реестр.
  24. Дрю, Кристофер (3 июня 2011 г.). «Похищенные данные отслеживаются для взлома в Lockheed» . Нью-Йорк Таймс .
  25. ^ «Lockheed Martin подтверждает атаку на свою ИТ-сеть» . AFP. 28 мая 2011г.
  26. Вольф, Джим (28 мая 2011 г.). «Lockheed Martin пострадала от киберинцидента, - заявляют США» . Рейтер.

Внешние ссылки [ править ]

  • Официальный сайт RSA SecurID
Технические детали
  • Образец эмулятора токена SecurID с импортом секрета токена ICWiener, сообщение Bugtraq.
  • Очевидные слабые места в протоколе клиент / сервер Security Dynamics Адам Шостак, 1996.
  • В ветке Usenet обсуждаются новые подробности SecurID Вин МакЛеллан и др., Comp.security.misc .
  • Неофициальный SecurID информации и некоторая по инженерной попытки Yahoo Groups SecurID-пользователи .
  • Анализ возможных рисков от компрометации 2011 г.
Опубликованные атаки на хэш-функцию SecurID
  • Криптоанализ предполагаемой хеш-функции SecurID (PDF) Алекс Бирюков , Джозеф Лано и Барт Пренил .
  • Улучшенный криптоанализ SecurID (PDF) Скотт Контини и Ицюнь Лиза Инь .
  • Быстрые программные атаки на SecurID (PDF) Скотт Контини и Ицюнь Лиза Инь .