stringtranslate.com

RSA SecurID

RSA SecurID , ранее известный как SecurID , — это механизм, разработанный RSA для выполнения двухфакторной аутентификации пользователя на сетевом ресурсе.

Описание

Токен RSA SecurID (старый стиль, модель SD600)
Токен RSA SecurID (модель SID700)
RSA SecurID (новый стиль, модель SID800 с функцией смарт-карты)

Механизм аутентификации RSA SecurID состоит из « токена » — либо аппаратного (например, брелок ), либо программного ( программный токен ) — который назначается пользователю компьютера и который создает код аутентификации через фиксированные интервалы (обычно 60 секунд) с использованием встроенных часов и закодированного на заводе почти случайного ключа карты (известного как «семя»). Семя отличается для каждого токена и загружается на соответствующий сервер RSA SecurID (RSA Authentication Manager, ранее ACE/Server [1] ) по мере приобретения токенов. [2] Также доступны токены по запросу, которые предоставляют код токена по электронной почте или через SMS-сообщение, что устраняет необходимость предоставления токена пользователю.

Аппаратное обеспечение токена разработано с целью защиты от несанкционированного доступа для предотвращения обратного проектирования . Когда на рынке появились программные реализации того же алгоритма («программные токены»), сообществом безопасности был разработан открытый код, позволяющий пользователю эмулировать RSA SecurID в программном обеспечении, но только если у него есть доступ к текущему коду RSA SecurID и исходному 64-битному файлу начального числа RSA SecurID, представленному на сервере. [3] Позднее 128-битный алгоритм RSA SecurID был опубликован как часть библиотеки с открытым исходным кодом. [4] В схеме аутентификации RSA SecurID начальная запись является секретным ключом, используемым для генерации одноразовых паролей . Более новые версии также оснащены разъемом USB, который позволяет использовать токен в качестве устройства, похожего на смарт-карту, для безопасного хранения сертификатов . [5]

Пользователь, аутентифицирующийся на сетевом ресурсе, например, на сервере dial-in или брандмауэре, должен ввести как персональный идентификационный номер , так и номер, отображаемый в данный момент на его токене RSA SecurID. Хотя это случается все реже, некоторые системы, использующие RSA SecurID, вообще игнорируют реализацию PIN-кода и полагаются на комбинации пароля и кода RSA SecurID. Сервер, который также имеет часы реального времени и базу данных действительных карт с соответствующими записями начальных чисел, аутентифицирует пользователя, вычисляя, какой номер должен отображаться на токене в данный момент времени, и сверяя его с введенным пользователем.

В более старых версиях SecurID может использоваться «принудительный PIN-код» — альтернативный код, который создает журнал событий безопасности, показывающий, что пользователя заставили ввести свой PIN-код, при этом обеспечивая прозрачную аутентификацию. [6] Использование принудительного PIN-кода позволит выполнить одну успешную аутентификацию, после чего токен будет автоматически отключен. Функция «принудительного PIN-кода» устарела и недоступна в поддерживаемых в настоящее время версиях.

Хотя система RSA SecurID добавляет уровень безопасности в сеть, могут возникнуть трудности, если часы сервера аутентификации рассинхронизируются с часами, встроенными в токены аутентификации. Нормальный дрейф часов токена автоматически учитывается сервером путем корректировки сохраненного значения «дрейфа» с течением времени. Если состояние рассинхронизации не является результатом обычного дрейфа часов аппаратного токена, исправление синхронизации часов сервера Authentication Manager с рассинхронизированным токеном (или токенами) может быть выполнено несколькими различными способами. Если часы сервера дрейфовали и администратор внес изменения в системные часы, токены можно либо повторно синхронизировать по одному, либо вручную скорректировать сохраненные значения дрейфа. Дрейф может быть выполнен на отдельных токенах или массово с помощью утилиты командной строки.

Компания RSA Security выступила с инициативой под названием «Повсеместная аутентификация» в сотрудничестве с производителями устройств, такими как IronKey , SanDisk , Motorola , Freescale Semiconductor , Redcannon, Broadcom и BlackBerry, для внедрения программного обеспечения SecurID в повседневные устройства, такие как USB-флеш-накопители и мобильные телефоны, чтобы снизить стоимость и количество предметов, которые должен носить с собой пользователь. [7]

Теоретические уязвимости

Коды токенов легко украсть, поскольку взаимной аутентификации не существует (все, что может украсть пароль, может также украсть код токенов). Это важно, поскольку это основная угроза, которую, по мнению большинства пользователей, они решают с помощью этой технологии.

Простейшей практической уязвимостью любого контейнера паролей является потеря специального ключевого устройства или активированного смартфона с интегрированной функцией ключа. Такая уязвимость не может быть устранена ни одним устройством-контейнером токенов в течение заданного периода времени активации. Все дальнейшие рассмотрения предполагают предотвращение потери, например, с помощью дополнительного электронного поводка или датчика тела и сигнализации.

Хотя токены RSA SecurID обеспечивают определенный уровень защиты от атак с повторным воспроизведением пароля , они не предназначены для защиты от атак типа «человек посередине» при использовании в одиночку. Если злоумышленнику удастся заблокировать авторизованного пользователя от аутентификации на сервере до тех пор, пока следующий код токена не станет действительным, он сможет войти на сервер. Аналитика на основе рисков (RBA), новая функция в последней версии (8.0), обеспечивает значительную защиту от этого типа атак, если пользователь включен и аутентифицируется на агенте, включенном для RBA. RSA SecurID не предотвращает атаки на основе «человек в браузере» (MitB).

Сервер аутентификации SecurID пытается предотвратить перехват пароля и одновременный вход в систему, отклоняя оба запроса на аутентификацию, если в течение заданного периода времени представлены два действительных учетных данных. Это было задокументировано в непроверенном сообщении Джона Г. Брэйнарда. [8] Однако, если злоумышленник лишает пользователя возможности аутентифицироваться, сервер SecurID предположит, что на самом деле аутентифицируется пользователь, и, следовательно, пропустит аутентификацию злоумышленника. В рамках этой модели атаки безопасность системы может быть улучшена с помощью механизмов шифрования/аутентификации, таких как SSL .

Хотя мягкие токены могут быть более удобными, критики указывают, что свойство устойчивости к несанкционированному доступу жестких токенов не имеет себе равных в реализациях мягких токенов [9] , что может привести к дублированию секретных ключей исходной записи и выдаче себя за пользователя.

С другой стороны, жесткие токены могут быть физически украдены (или получены с помощью социальной инженерии ) у конечных пользователей. Малый форм-фактор делает кражу жестких токенов гораздо более осуществимой, чем сканирование ноутбука/настольного компьютера. Пользователь обычно ждет более одного дня, прежде чем сообщить об отсутствии устройства, что дает злоумышленнику достаточно времени для взлома незащищенной системы. Однако это может произойти только в том случае, если также известны UserID и PIN-код пользователя. Аналитика на основе рисков может обеспечить дополнительную защиту от использования утерянных или украденных токенов, даже если UserID и PIN-код пользователя известны злоумышленникам.

Аккумуляторы периодически разряжаются, что требует сложных процедур замены и повторной регистрации.

Прием и конкурирующая продукция

По состоянию на 2003 год RSA SecurID контролировала более 70% рынка двухфакторной аутентификации [10] , и на сегодняшний день было произведено 25 миллионов устройств. [ требуется ссылка ] Ряд конкурентов, таких как VASCO , производят похожие токены безопасности , в основном на основе открытого стандарта OATH HOTP . Исследование OTP, опубликованное Gartner в 2010 году, упоминает OATH и SecurID как единственных конкурентов. [11]

Другие системы сетевой аутентификации, такие как OPIE и S/Key (иногда более известный как OTP , поскольку S/Key является торговой маркой Telcordia Technologies , ранее Bellcore ), пытаются обеспечить уровень аутентификации «что-то, что у вас есть», не требуя аппаратного токена. [ необходима цитата ]

Взлом системы в марте 2011 г.

17 марта 2011 года RSA объявила, что они стали жертвами «чрезвычайно сложной кибератаки». [12] Опасения были высказаны конкретно в отношении системы SecurID, заявив, что «эта информация потенциально может быть использована для снижения эффективности текущей реализации двухфакторной аутентификации». Однако в их официальном представлении по форме 8-K [13] указано, что они не считают, что нарушение окажет «существенное влияние на ее финансовые результаты». Нарушение обошлось EMC, материнской компании RSA, в 66,3 млн долларов, которые были взяты в качестве платы за второй квартал. По словам исполнительного вице-президента и финансового директора EMC Дэвида Гулдена в телефонной конференции с аналитиками, оно покрыло расходы на расследование атаки, укрепление ее ИТ-систем и мониторинг транзакций корпоративных клиентов. [14]

Взлом сети RSA был осуществлен хакерами, которые отправили фишинговые письма двум целевым небольшим группам сотрудников RSA. [15] К письму был прикреплен файл Microsoft Excel, содержащий вредоносное ПО . Когда сотрудник RSA открыл файл Excel, вредоносное ПО использовало уязвимость в Adobe Flash . Эксплойт позволил хакерам использовать Poison Ivy RAT для получения контроля над машинами и доступа к серверам в сети RSA. [16]

Есть некоторые намеки на то, что взлом был связан с кражей базы данных RSA, сопоставляющей серийные номера токенов с секретными «семенными числами» токенов, которые были введены, чтобы сделать каждый из них уникальным. [17] Сообщения о том, что руководители RSA говорят клиентам «убедиться, что они защищают серийные номера на своих токенах» [18], подтверждают эту гипотезу.

За исключением фатальной слабости в криптографической реализации алгоритма генерации кода токена (что маловероятно, поскольку оно подразумевает простое и прямое применение тщательно изученного блочного шифра AES-128 ), единственным обстоятельством, при котором злоумышленник может провести успешную атаку без физического владения токеном, является утечка самих записей начального числа токена. [ необходима цитата ] RSA заявила, что не разглашает подробности о масштабах атаки, чтобы не дать потенциальным злоумышленникам информацию, которую они могли бы использовать при выяснении того, как атаковать систему. [19]

6 июня 2011 года RSA предложила замену токенов или бесплатные услуги мониторинга безопасности любому из своих более чем 30 000 клиентов SecurID после попытки кибератаки на оборонного клиента Lockheed Martin , которая, по-видимому, была связана с украденной у RSA информацией SecurID. [20] Несмотря на последовавшую за этим атаку на одного из своих оборонных клиентов, председатель компании Арт Ковьелло сказал: «Мы верим и продолжаем верить, что клиенты защищены». [21]

Последующие атаки

В апреле 2011 года появились неподтвержденные слухи о том, что L-3 Communications подверглась атаке в результате взлома RSA. [22]

В мае 2011 года эта информация была использована для атаки на системы Lockheed Martin . [23] [24] Однако Lockheed Martin утверждает, что из-за «агрессивных действий» команды информационной безопасности компании «никакие личные данные клиентов, программ или сотрудников» не были скомпрометированы этой «значительной и упорной атакой». [25] Министерство внутренней безопасности и Министерство обороны США предложили помощь в определении масштабов атаки. [26]

Ссылки

  1. ^ "Руководство по интеграции Oracle® Access Manager" (PDF) . Корпорация Oracle . Август 2007 г. [...] RSA ACE/Server®, который был переименован в Authentication Manager.
  2. ^ "RFC ft-mraihi-totp-timebased: TOTP: алгоритм одноразового пароля на основе времени". Ietf Datatracker . 13 мая 2011 г.
  3. ^ "Bugtraq: Пример эмулятора токена SecurID с импортом секрета токена". seclists.org .
  4. ^ "Стокен / Wiki / Главная" . sourceforge.net .
  5. ^ "Data Sheets" (PDF) . Архивировано из оригинала 13 ноября 2008 г.
  6. ^ "TCPware V5.7 User's Guide ch14.HTM". Архивировано из оригинала 2012-03-01 . Получено 2013-03-20 .
  7. ^ RSA Security обеспечит повсеместную аутентификацию, поскольку технология RSA SecurID(r) достигает повседневных устройств и программного обеспечения – M2 Presswire
  8. ^ "Без названия". malpaso.ru . Архивировано из оригинала 28 сентября 2007 года.
  9. ^ «Securology: Soft tokens — это вовсе не токены». 20 ноября 2007 г.
  10. ^ "Решение RSA SecurID названо лучшим сторонним устройством аутентификации по версии журнала Windows IT Pro Magazine Readers' Choice 2004". RSA.com . 2004-09-16. Архивировано из оригинала 2010-01-06 . Получено 2011-06-09 .
  11. ^ Диодати, Марк (2010). «Дорожная карта: замена паролей на аутентификацию OTP». Burton Group . Gartner ожидает, что форм-фактор аппаратных OTP продолжит умеренно расти, в то время как OTP для смартфонов будут расти и со временем станут аппаратной платформой по умолчанию. ... Если организации не нужна обширная поддержка платформы, то технология на основе OATH, вероятно, будет более экономически эффективным выбором.
  12. ^ «Открытое письмо клиентам RSA».Первоначально опубликовано на сайте RSA.
  13. ^ "EMC / RSA 8K filing". Форма 8-K . Комиссия по ценным бумагам и биржам США. 17 марта 2011 г.
  14. ^ Чаброу, Эрик (1 августа 2011 г.). «Утечка RSA обошлась материнской компании EMC в 66,3 миллиона долларов». GovInfoSecurity .
  15. ^ Ривнер, Ури (1 апреля 2011 г.). «Анатомия атаки». Говоря о безопасности — блог и подкаст RSA . Архивировано из оригинала 20 июля 2011 г.
  16. ^ Миллс, Элинор (5 апреля 2011 г.). «Атака на RSA использовала уязвимость Flash нулевого дня в Excel». CNET . Архивировано из оригинала 17 июля 2011 г.
  17. ^ Гудин, Дэн (24 мая 2011 г.). «RSA не хочет говорить? Предположим, что SecurID сломан». The Register.
  18. ^ Мессмер, Эллен (18 марта 2011 г.). «Хакеры украли секретный соус RSA SecurID?». Network World. Архивировано из оригинала 15 октября 2012 г.
  19. Брайт, Питер (6 июня 2011 г.). «RSA наконец-то призналась: SecurID скомпрометирован». Ars Technica.
  20. ^ Горман, Сиобхан; Тибкен, Шара (7 июня 2011 г.). «Security 'Token' Take Hit». Wall Street Journal.
  21. ^ Горман, Сиобхан; Тибкен, Шара (7 июня 2011 г.). «RSA вынуждена заменить почти все свои миллионы токенов после нарушения безопасности». News Limited.
  22. Миллс, Элинор (6 июня 2011 г.). «Китай связан с новыми утечками, связанными с RSA». CNet.
  23. ^ Лейден, Джон (27 мая 2011 г.). «Lockheed Martin приостанавливает удаленный доступ после «вторжения» в сеть». The Register.
  24. ^ Дрю, Кристофер (3 июня 2011 г.). «Украденные данные отслеживаются до взлома Lockheed». New York Times .
  25. ^ "Lockheed Martin подтверждает атаку на свою ИТ-сеть". AFP. 28 мая 2011 г. Архивировано из оригинала 7 сентября 2012 г.
  26. Вольф, Джим (28 мая 2011 г.). «Lockheed Martin пострадала от киберинцидента, говорят США». Reuters. Архивировано из оригинала 13 июня 2012 г.

Внешние ссылки

На Викискладе есть медиафайлы по теме RSA SecurID .
Технические подробности
Опубликованные атаки на хэш-функцию SecurID