RSA przyznaje - jest problem z tokenami

Po trzecim włamaniu do firmy pracującej dla wojska w którym wykorzystano duplikaty tokenów RSA SecurID, firma przyznała, że ich obecna wersja przestała być bezpieczna.

Trzecią ofiarą szpiegowskiego włamania była firma lotnicza Northrop-Grumman, znana m. in z produkcji niewidzialnych dla radaru myśliwców.

Tokeny RSA SecurID to sprzętowe generatory haseł, wykorzystujące zapisany w nich klucz (sekret). Na podstawie klucza i wskazań zegara, co kilka minut wyliczają nowe hasło, które sprawdzane jest przez oprogramowanie również znające klucz i posługujące się analogicznym zegarem. Klucza nie można (przynajmniej w teorii) w żaden sposób wydostać z tokena, dlatego podanie przez użytkownika właściwego hasła może być dowodem, że posiada on właściwy, unikalny token.

Największy producent tokenów na świecie, firma RSA Security w marcu ogłosiła, że wykradzione z jej systemów zostały pewne dane dotyczące tokenów, jednak firma nie podała jaki rodzaj danych został wykradziony, oraz twierdziła, że bezpieczeństwo tokenów nie jest zagrożone. Jednak na podstawie tego, że już trzykrotnie hasła ze sklonowanych tokenów zostały wykorzystane do włamań, można przypuścić, że są to dane pozwalające odtworzyć funkcjonalność dowolnego tokena - czyli algorytm wyliczania hasła, oraz lista przypisanych do poszczególnych tokenów kluczy.

RSA Security (własność korporacji EMC) musi teraz wymienić prawie 40 milionów skompromitowanych tokenów. Plan wymiany został potwierdzony przez szefa firmy, Arta Coviello.

Firma dalej nie ujawniła, jakie dane zostały w marcu wykradzione. Tokeny RSA są wykorzystywane także przez polskie banki do autoryzacji dostępu do kont przez internet i potwierdzania transakcji.

 

[za Net-Security]

Więcej o:
Komentarze (10)
RSA przyznaje - jest problem z tokenami
Zaloguj się
  • leppek

    Oceniono 5 razy 5

    brawo quiver! Zawsze podoba mi się jak ktoś obnaża beznadziejny poziom dziennikarstwa gazeta.pl. Problem polega na tym, że różni ludzie zwracają "redaktorom" uwagę setki razy na różnego rodzaju idiotyczne błędy, nieścisłości, bzdury. Nikogo to jednak w "redakcji" nie rusza ani o pół klawisza... Artykuły pisane na kolanie, bez grama szacunku do czytelnika. Albo Agora uprawia totalny wyzysk nakazując pisać gimnazjalistom 100 tekstów na godzinę, albo to prostu teraz tak już będzie: internet zalewają kompletnie gó...ane treści, których nikt nawet nie przejrzy po opublikowaniu. Agorze chodzi o to, żeby generować strony do wyświetlania reklam. Artykuł jest tylko dodatkiem. Może mieć kardynalne błędy, może być bez sensu, może być nawet niegramatycznie, nieortograficznie, niestylistycznie napisany - w 'redakcji' gazety NIKOGO to nie obchodzi. Gdyby obchodziło na 100 tekstów dziennie 50 nie miałoby wad jak powyżej... No ale czego można wymagać od gazety.pl - gimnazjaliści po lekcjach + korporacja uprawiająca wyzysk = masa błędów, i upadający na pysk poziom "contentu".. ale wiecie, dla "szczurków" się to liczy, dla nich ważne są słupki w Excelu, ile reklam, ile reklam...

  • quiver

    Oceniono 6 razy 2

    "Compromised" wcale nie znaczy "skompromitowanych" (poza bardzo szczególnymi przypadkami)... Czy nikt już nie sprawdza tego co pisze?... Prawidłowe tłumaczenie to "zagrożonych", ewentualnie "narażonych".

    Za [ dictionary.reference.com/browse/compromise ]:
    com·pro·mise
    (...)
    –verb (used with object)
    6. to expose or make vulnerable to danger, suspicion, scandal, etc.; jeopardize: a military oversight that compromised the nation's defenses.
    (...)

  • naczelny_frustrat

    0

    @quiver - przecież to studenty latające po lanserskich klubach piszą

  • gh83

    0

    Compromised - skompromitowany
    Actually - aktualnie
    Eventually - ewentualnie

    A mówią, że angielski jest trudny!

  • pantalonik666

    0

    Rychło w czas.

  • jpsi

    0

    heh. skompromitowane tokeny.

    compromised w tym kontekscie oznacza dokladnie to, ze juz nie sa tajne.
    Uzywa sie tego w wywiadzie, kiedy tajny agent zostanie rozpoznany.
    Moze to oznaczac, tez, ze cos jest stracone.

    cheers

  • bothunterspl

    0

    Nie ma się co dziwić jak co czwarty amerykański haker jest na usługach FBI:

    bothunters.pl/2011/06/08/co-czwarty-amerykanski-haker-jest-informatorem-fbi/

  • forumowasciema

    0

    dokładnie jest tak jak napisałeś, leppek.
    do tego cenzura, czyli usuwanie pojedynczych postów lub całych dyskusji które nie pasują do promowanej tezy.
    dlatego to mój ostatni wpis na gazeta.pl.
    koniec także z przeglądaniem tego goownianego portalu.

  • pocalujta_wujta

    0

    Nie tylko przez polskie banki. Wlasnie sie wylogowalem z domowej roboty do banku amerykanskiego.

    Z USA,
    informatyk

Aby ocenić zaloguj się lub zarejestrujX