Angriff über RSA SecurID Token?
Der SPIEGEL berichtet über einen „Cyber-Angriff” auf den Rüstungskonzern Lockheed Martin. Die Angreifer hätten die RSA SecurID Token geknackt, nachdem unlängst geheime Daten von RSA gestohlen worden wären. Ein Stirnrunzeln dazu.
Ich kenne die RSA SecurID Token. Vor einigen Jahren habe ich einige solcher Systeme mal für Kunden installiert. Der bemerkenswerte Abschnitt in diesem SPIEGEL-Artikel ist der:
Laut Rick Moy, Präsident der Computersicherheitsfirma NSS Labs, könnte der Angriff auf Lockheed von denselben Tätern begangen worden sein wie die Attacke auf RSA im März. Denn danach sei wiederholt versucht worden, mit Hilfe von Schadsoftware und Phishing-Attacken an Daten zu gelangen, die Benutzer mit bestimmten “SecurID”-Tokens in Verbindung bringen könnten.
Warum ist das so bemerkenswert?
Wenn man den RSA Server installiert, der die Passworteingaben auf Richtigkeit prüft, dann genügt es nicht, ihm die Seriennummern mitzuteilen. Mit den Tokens wird eine Datei geliefert, die die Daten enthält, um die Eingabe des Benutzers auf Richtigkeit zu prüfen. Dabei gibt es gewissen Grenzen. Nach einigen Fehlversuchen wird das Token gesperrt und man kann sich damit gar nicht mehr anmelden.
Insofern ist das System durchaus anfällig und leicht kompromittierbar. Denn wenn ich an eine Kopie der Daten (und der Zuordnungen zu Benutzern) komme, habe ich gewonnen, und zwar selbst dann, wenn ich nicht weiß, wie das Token oder der Algorithmus funktionieren oder man von den externen Daten nicht auf die geheimen Daten schließen kann. Denn der Suchraum ist zu klein. Man kann das 6-stellige Token-Passwort oder meinetwegen auch den ganzen 10-stelligen Code (normalerweise gibt man zum 6-stelligen Tokencode noch eine ca. 4-stellige PIN mit ein, die sog. Two-Factor-Authorizatioh) durch brute force knacken, wenn man die Verifizierungsdaten und eine Kopie der Server-Datenbank hat, und den Server auf dem Rechner des Angreifers ohne Zeit- und Fehlversuchsbeschränkung simulieren kann. Vor allem dann, wenn man irgendwann mal den Rechner eines Nutzers kompromittiert und damit dessen PIN abgefangen hat.
Daher ist es schon systematisch schlampig, daß RSA nicht auf die Vertraulichkeit der Token-Verifikationsdaten hinweist, sondern die (damals) nur lose auf Diskette oder gebrannter CD beilegte. Es entsteht der Eindruck, als seien diese Daten nicht vertraulich, wie die Public Keys bei Public-Key-Kryptographie. Bedenkt man aber, daß der Suchraum nur bei 6 Dezimalstellen bzw. ca. 220 liegt, kann man mit den Verifikationsdaten einen Token durchaus simulieren ohne dessen geheimen Schlüssel zu kennen.
Aber ein Token zu knacken, das hilft dem Angreifer noch nicht, weil er nicht weiß, welches Token der Benutzer verwendet. Außerdem braucht er noch PIN und Benutzernamen. Und genau darauf wollten die Angreifer wohl hinaus, deutet man die zitierte Stelle adäquat. Es deutet also durchaus darauf hin, daß die Angreifer RSA SecurID Tokens brechen bzw. schnell genug simulieren können, und nun noch die restlichen Informationen benötigen.
Was mich aber erstaunt ist die Tatsache, daß man bei einem so geheimhaltungsbedürften Umfeld wie Lockheed Martin überhaupt ein so unsicheres System wie RSA SecurID einsetzt. Denn man muß nicht erst bei RSA einbrechen, um es zu kompromittieren. Man baut etwa einen Man-in-the-middle-Angriff. Geht ja leicht. Man gaukelt mal ein falsches WLAN vor, einen gefakten DHCP-Server mit faulen Routen, jubelt einen falschen Eintrag in die hosts-Datei usw. usw. und loggt sich dann damit ein.
Eine Schwäche der Tokens ist nämlich, daß sie den Server, gegen den man sich authentifiziert, nicht überprüfen. Wer auch immer so tut, als sei er der Webserver, bekommt vom gutgläubigen Benutzer Benutzername, PIN und einen aktuellen Tokencode mit dem man sich einloggen kann.
Eine weitere Schwäche ist, daß der Eindruck erweckt wird, daß man für verschiedene Logins nicht verschiedene Tokens bräuchte, sondern eins für alles geht. Wenn die da bloß den Zugang zur Mailbox oder die Anmeldeseite der Betriebssauna ebenfalls drangehängt haben, kommt man natürlich auch auf diesem Weg an einen gültigen Satz aus Name, PIN und Token-Code.
Eine andere, konstruktive Schwäche im RSA SID 800 SecurID Token habe ich vor 5 Jahren bemerkt und RSA daraufhingewiesen. Man kann den TokenCode einfach so über den USB auslesen. War denen damals egal, der Kunde wünsche es so. Das hatten die so gebaut, damit der Kunde die 6 Ziffern nicht abtippen muß, sondern mit der Maus mittels copy-and-paste aus einem kleinen Anzeigefenster übernehmen kann. Und diese Tokens gibt es auch heute noch. Schafft der Angreifer es, dem Nutzer eine dedizierte Spyware unterzujubeln – und das gehört zum Grundprogramm jedes ordentlichen Geheimdienstes – dann hat der Angreifer nicht nur die oben beschriebenen Daten wie Benutername, PIN, Token-Code, Uhrzeit, sondern kann ganz einfach alle nachfolgenden Token-Codes abfragen, die der Token generiert, solange er im USB steckt. Und dann bräuchte man den Einbruch bei RSA gar nicht.
Also sind die RSA SecurID Tokens nicht erst seit dem Angriff bei RSA unsicher. Das Zeug war noch nie sicher (und damit meine ich nicht theoretische Sicherheit, sondern gemessen an dem, was an Angriffen tatsächlich vorkommt). Und ist – siehe SID800 – auch nicht mehr auf Sicherheit gebaut.
Sicherheit geht anders. Ich hätte gedacht, daß die Amis, die ja so auf Digitale Kriegführung machen, da eigentlich besser drauf sind, wenn es um die Rüstung geht.
Noch zwei Lacher aus dem Nähkästchen?
- Ich weiß von einem Fall, in dem eine Firma, die RSA SecurID Tokens einsetzt, einer anderen Firma, die Fernwartungsarbeiten ausführen sollte, ein solches Token gegeben hat, damit die dort das Passwort nicht in der Firma rumerzählen können, sondern sich immer nur der einloggen kann, der gerade das Token hat. Die haben dann an ihren Server einen billigen Flachbettscanner angeschlossen und dieses Token (und einige andere von anderen Kunden, die es genauso machten) mit Tesafilm drauf festgeklebt. Wann immer einer zur Fernwartung von zu Hause aus zugreifen wollte, hat er sich einen aktuellen Scan anzeigen lassen.
- Nachdem ich mal bei einer Firma für den Vorstand, der unbedingt „was sicheres und einfaches” haben aber sich keine langen Passworte merken wollte und mit Kryptographie hoffnungslos überfordert war, ein solches RSA-System installiert habe (wurde auch getestet und abgenommen), wurde ich mal eilig ranzitiert, weil das System nicht funktioniere. Es wäre ganz eilig und dringend, der Vorstand gerade beim Investor in den USA, es gehe um soundsoviel zig Millionen, und nun stünden sie da und man könne sich nicht einloggen, und der Investor drohe abzuspringen. Ganz schlimm, ganz dringend.
Nach eingehender Fehleranalyse konnte ich dem Mann per telefonischer Hilfe aus der Patsche helfen. Ich habe ihm nämlich erklärt, daß er als Token-Code nicht die auf der Rückseite eingeprägte Seriennummer, sondern die auf der Vorderseite in dem lustigen kleinen LCD-Fenster angezeigte Zahl eingeben muß. Damit ging’s dann auch.
Der werte Vorstandsvorsitzende hat es fertiggebracht, in die USA zu fliegen, einen Investor um einige zig Millionen anzubaggern, das alles davon abhängig zu machen, daß er sich dort von irgendeinem fremden Windows-Rechner in seiner Firma einloggen kann, und das ganze vorher nicht ein einziges Mal ausprobiert zu haben. Zu meinem Erstaunen hat der Investor diesem Mann dann das Geld gegeben.
Nachtrag: Ein Kumpel hat mir geschrieben, daß bei dem RSA-Hack auch die Zuordnung der Token Seeds zu den Kunden kopiert wurde. Damit sind die Angriffschancen natürlich drastisch höher.
15 Kommentare (RSS-Feed)
Solche Kommentare sind der Grund, warum ich mir schon überlegt habe, die Kommentarfunktion ganz abzuschalten. Und warum ich Pseudonyme, und Leute, die unter Pseudonymen mit Dreck werfen, nicht mag (den Namen halte ich deshalb für erfunden, weil man nicht einen so ungewöhnlichen Namen und dann keine E-Mail-Adresse angibt). Leute, die auf diese Weise kommentieren, gehören für mich zum untersten Gesindel. Ich bitte übrigens, meine Kommentar-Policy zu beachten.
Kannst Du das auch nur irgendwie nachvollziehbar und verständlich erklären?
Es stimmt übrigens nicht, daß ich RSA nicht mag. Ich hatte mit denen ein prächtiges Verhältnis, als ich noch deren Produkte installiert habe. Nur sind diese Produkte erstens nicht so sicher, wie sie beworben werden, und zweitens nicht so sicher, wie sie teuer sind.
Die haben halt ein Patent, kasieren damit ab, und haben das Zeug nie selbst weiterentwickelt. Wer die Dinger von früher kennt, weiß, daß die ursprünglich von einer Firma namens ACE waren, die RSA gekauft hat. (Ich hatte sogar mal einen der Original-ACE token). Und RSA hat sich halt wenig Mühe gegeben, das noch irgendwie zu verbessern oder weiterzuentwickeln, sondern einfach nur zu saftigen Preisen verkloppt.
Auf einer Checkpoint-Konferenz haben sie mal am Rande ähnliche (aber teils bessere und trotzdem günstigere) Produkte von anderen Herstellern angeboten, die aber wegen des Patents alle nicht zeitgesteuert waren, sondern wo man eine Taste drücken mußte.
Auch Aladdin hatte mal einen Krypto-Token mit OTP (weiß nicht, ob es den noch gibt), der dieses Problem, über das RSA angegriffen wurde, nicht hatte, weil da (wenn ich mich jetzt recht erinnere) der Schlüssel erst beim Kunden generiert wurde.
Insofern sehe ich durchaus Substanz für meine Sichtweise. Und ich kann sie immerhin begründen.
Übrigens: Den Man-in-the-middle-Angriff habe ich früher in Security-Workshops vorgeführt. Wieso soll das Blödsinn sein, wenn man es vorführen kann?
Einfacher geht es mit einer auf den Token ausgerichteten Web-Cam.
TD
Ich weiss gar nicht wo ich anfangen soll….
Eine Kopie der Server Datenbank (Dump, Inhalte u.a. User, PIN, Token Serial, Token Seed, Auth. Clients) hilft dir überhaupt nichts, da du damit keine funktionierende AM Umgebung aufbauen kannst.
Selbst das komplette Image einer VMWare-Installation kannst du (bei ordentlicher Konfiguration) nicht dazu verwenden eine lauffähige Kopie des Systems zu erstellen.
– Die Aladdin eToken sind übrigens auch mit einem Hardwareseed ausgestattet.
– MITM Angriffe legen keine Schwäche des RSA-Verfahrens offen, sondern aller Anmeldevorgänge über nicht gesicherte Kanäle. Trifft im übrigen auch auf die “aber teils bessere und trotzdem günstigere” Produkte zu.
– Das Token kann natürlich nicht die Authentizität des Servers prüfen, wie auch? Machen deine Passwörter das etwa? Es kann aber sehr wohl die Clientkomponente übernehmen (VPN Client, Browser, whatever…). Der Authenticator, der über RSA SecureID angebunden ist, prüft sehr wohl die Authentizität des dahinterliegenden RSA Servers. Macht sonst am Markt kaum einer so.
– SecureID 800 Token kann man das Bereitstellen der Codes sehr wohl abgewöhnen. Aber tatsächlich will das kaum ein Kunde. Das funktioniert so übrigens auch bei Aladdin, bei ActivIdentity, bei Entrust. Wo auch immer du kombinierte OTP-Devices mit USB-Schnittstelle oder als Applet auf einer Smartcard hast.
– Was die Mehrfachnutzung der Tokens für verschiedene Zugänge mit der RSA Implementierung zu tun hat, weißt wohl nur du alleine.
– Den Tokencode wirst du nicht “brute forcen” können, da er nur die Trunkierung eines zuvor berechneten Hashwertes darstellt.
Ich finde den Vorfall bei RSA auch mehr als peinlich und schlampig, aber selbsternannte Experten auf diesem Niveau sidn auch nicht besser.
– Natürlich hilft mir der Dump einer ACE Serverdatenbank, damit kann ich eine funktionierende Umgebung aufbauen. Habe ich bereits gemacht.
– Bei den Aladdin eToken war keine separate Datei mit Verifikationsdaten dabei. (Ich habe aber dazugeschrieben, daß ich das bei denen nicht genau weiß, die hat damals ein Kollege aufgesetzt)
– MITM sind eine Schwäche des RSA-ACE-Verfahrens, denn sie sehen kein Verfahren vor, um den Server zu authentifizieren.
– “Schwäche aller Anmeldevorgänge über nicht gesicherte Kanäle” ist dummes Geschwätz, denn es ist eine Tautologie bzw. Wiederholung der Aussage. Wie “Schwäche aller Vorgänge, die dagegen eine Schwäche haben”
– Daß der Token die Authentizität nicht prüfen kann, ist eine Eigenschaft des Systems. RSA bewirbt groß die tolle Sicherheit und die Two-Factor-Authentication, aber sagt nichts davon. Darüber sind sich viele nicht klar
– Ich habe niemals Passwörter als Alternative angepriesen, zumal Passwörter auch nicht in dieser Form als besonders sicheres Verfahren verkauft werden.
– Jeder hätte Lockheed Martin ausgelacht, wenn sie einen Passwort-Zugang gehabt hätten. Insofern weiß ich nicht, wo Du den Vergleich mit Passwörtern jetzt hernimmst.
– Das der Authenticator (d.h. der Server, an dem man sich anmeldet) die Authentizität des RSA Servers prüft, ist richtig, aber nutzlos, da der MITM hier zwischen Benutzer und dem Server am Internet (Web, usw.) und nicht zwischen dem und dem RSA Server sitzt.
– Die Mehrfachnutzung der Tokens für verschiedene Zugänge wird durchaus häufig eingesetzt, auch aus Kostengründen. Zumal RSA die Dinger auch damit beworben hat, daß man nur ein solches Token braucht und nicht mehrere. Der RSA Server ist ja auch dafür gebaut, daß mehrere Anwendungen darauf zugreifen (auch z. B. über RADIUS). Das Problem existiert.
– Du schreibst, das wüßte nur ich alleine, wo das Problem liegt.
Es ist zutreffend, daß nur die etwas schlaueren und erfahreneren Leute die Probleme kennen. Aber schon allein aus der Tatsache, daß Du sie nicht kennst, zu folgern, daß ich alleine sie kennen würde, ist doch ziemlich überheblich.
– Natürlich kann ich den Tokencode brute forcen. Ich muß nur alle möglichen Tokencodes von 000000 bis 999999 (= 106 = ca. 220) durchprobieren und schauen, wo die Verifikationsroutine „stimmt” ausgibt. Kein Problem, wenn man etwa die Kopie der zu den Token mitgelieferten Datei (und ggf. die Zeitdrift) hat.
– Ich bin kein „selbsternannter Experte”. Ich bin einer, der das beruflich gemacht hat und damals eine Prüfung durch RSA abgelegt hat, und der zumindest mal von seinem damaligen Arbeitgeber dazu ernannt wurde.
Ich folgere daraus, daß Du sehr leichtfertig anderen Leuten Beleidigungen ins Blog schreibst, obwohl eigentlich nur Du selbst es nicht verstanden hast. (Oder kurz gesagt: Die Klappe ist größer als das dahinter.) Deine Vorwürfe kannst Du jedenfalls nicht begründen.
Darf ich fragen, was Du beruflich so machst?
Wisch dir den Schaum vom Mund und versuche zu verstehen was du schreibst. Deine Schwächen sind allesamt übertragbar auf jedes andere OTP-Verfahren. Dabei ist nichts RSA spezifisches ausser die Offenlegung der Tokenseeds. Das zugegebenermassen ist für ein “Sicherheitsunternehmen” nicht tragbar und eigentlich könnten die sich umbenennen in “any divsion of EMC”.
Aber verrat mir doch mal wie du mit einem x-beliebigen Dump einer RSA Installation ein lauffähiges System zauberst. Ich bin gespannt.
Was ist denn das für eine Aussage? „übertragbar auf jedes andere OTP-Verfahren”?
Wird dadurch irgendwas sicherer? Wieviele „andere OTP-Verfahren” gibt es denn, die mit solchen Versprechen und zu solchen Preisen den Leuten hohe Sicherheit versprechen und es nicht halten können? Schwächen sind ja nicht erst dann Schwächen, wenn sie RSA-spezifisch sind.
Wie ich mit einem x-bliebigen Dump einer RSA-Installation ein lauffähiges System zaubere? Ziemlich einfach. Ich installiere ein frisches System und spiele den Dump über die Backup/Restore-Funktion ein. Und schon tut es exakt dasselbe. Einschließlich der Authenfikation gegenüber den anderen Servern. Das ist so gebaut und so gewollt (und habe ich auch schon getan). (Und wenn es kein RSA Dump, sondern nur ein Dump der Dateien ist, kopiere ich eben die Datenbank rein, läuft genauso.)
Ich warte immer noch auf eine Antwort auf die Frage, wer/was Du bist und woher Du glaubst, hier in einem solchen Ton auftreten zu können. Hier gibt es nämlich eine Kommentar-Policy, und wenn Du die nicht beachtest, dann war das der letzte Kommentar hier. Bisher hast Du nämlich außer herablassend-beleidigenden Kommentare (hanebüchener Schwachsinn, Schaum vor dem Mund) und einfach mal irgendwas ins Blaue in Abrede zu stellen überhaupt nichts gebracht. Und solche Leute (und solche Kommentare) will ich hier in meinem Blog nicht haben.
Entweder Du begründest Dein Zeug hier nachvollziehbar und inhaltlich, oder das war’s jetzt.
Fast alles was du schreibst gilt für jeden Anbieter von OTP Lösungen. Ob das Aladdin/Safenet, Entrust, Verisign, Kobil, Vasco, ActivIdentity oder sonstwer ist.
Ist das inhaltlich/nichtinhaltlich?
Ein Restore benötigt neben dem Dump noch das Passwort und die Serverkeys des Originalsystems. Wo liegt die Schwäche von RSA AM in diesem Fall, wenn diese einem Angreifer vorliegen? Damit ist eine lauffähige Kopie nicht so trivial abzubilden.
Ist das inhaltlich/nichtinhaltlich?
SecureID 800 Token kann man das Bereitstellen der Codes sehr wohl abgewöhnen. Aber tatsächlich will das kaum ein Kunde. Das funktioniert so übrigens auch bei Aladdin, bei ActivIdentity, bei Entrust. Wo auch immer du kombinierte OTP-Devices mit USB-Schnittstelle oder als Applet auf einer Smartcard hast.
Ist das inhaltlich/nichtinhaltlich?
Die Aladdin eToken sind übrigens auch mit einem Hardwareseed ausgestattet. Dieser kam in der ersten Version per Diskette, mittlerweile kann man ihn online abrufen.
Ist das inhaltlich/nichtinhaltlich?
Nein, daß die anderen Anbieter das Problem auch haben, ändert überhaupt nichts daran. Damit wird das Ding kein bisschen sicherer. Nicht substanzhaltig
Nein, wenn ich soweit bin, daß ich einen Dump ziehen kann, kann ich auch alles andere ziehen. Nicht substanzhaltig.
Daß man es dem SecurID 800 Token abgewöhnen kann, muß neu sein. Als ich das damals bei RSA als Sicherheitsproblem eingekippt habe, war deren Antwort, daß man es nicht kann. Sonst hätte ich es damals nämlich getan.
Aladdin war hier nicht mein Thema.
Und Du hast bisher noch nicht erklärt, warum es „hanebüchener Schwachsinn” sein soll. Wenn ich sehe, wieviele Klimmzüge Du hier anbringst und wie tief Du hier ins Detail willst, war’s wohl doch nicht so offensichtlich falsch.
Mit allem dem, was Du hier anlieferst, könntest Du, selbst wenn es denn stimmte, höchtens belegen, daß mein Blogartikel unrichtig wäre, aber noch lange nicht „hanebüchener Schwachsinn”.
Also: Nein, es ist nicht inhaltlich. Es ist Geblubber.
Während die Experten darüber diskutieren, ob und wie sicher die RAS SID 800 SecurID Token sind, berichtet inzwischen taz.de über die neue Internet-Strategie des Pentagon, d.h. dass das Pentagon bei ausländischen Hackerangriffen auch Vergeltungsanschläge mit konventionellen Waffen vorsehen kann.
Anscheinend sieht die globale Elite der USA (nicht zu verwechseln mit den US-Bürgern!) in Attacken aus dem Internet (Cyberwar) inzwischen eine sehr große Bedrohung.
In dem Pentagonpapier, das ca. 30 Seiten umfasst und “weitgehend geheim” sein soll, stuft man die ausländischen Hackerangriffe als möglichen Kriegsgrund ein, um in andere Länder einzumarschieren.
Wahrscheinlich ist es den “Elitenpinkeln” auch egal, ob sie den Internet-Bösewicht ausmachen können, es wird – wie so oft – auf Verdacht hin einmarschiert und zugeschlagen.
Rosige Aussichten für die Zukunft!
danke für den ausführlichen kommentardialog!
ich hatte letztens deinen artikel zum blogkommentarspamfilterproblem gelesen und wußte nicht so genau wie denn solch spam aussieht.
vielleicht solltest du zu lehrzwecken ab und zu einen solch qualifizierenden kommentar durchleiten um die wahrnehmung deiner leser zu schärfen. kommentiert mit *spam* versteht sich.
wenn ich dann noch an HBGary’s “social network surveillance software, code-named ‘Metal Gear'” denke: ist vielleicht sinnvoll solche kommentare grundsätzlich in einer datenbank zu sammeln und linguistisch zu analysieren. was die können kann man mit denen auch…
natürlich verlangt das alles nach ressourcen die du angenehmer verbrauchen kannst 🙂
@ Saskia Schwartz:
gestern noch im pentagon, heute schon via nato in europa
http://www.nato-pa.int/default.asp?SHORTCUT=2443
guten umbruch und gruß
@ uwiuwiuwi
Vielen Dank für den brisanten Link.
Soll Grafenwöhr wirklich bereits im September der Nato als Trainingsplatz für die diesjährige Cyber-Übung (Cyber Endeavor) dienen?
Es ist erschreckend, wie schnell dies alles umgesetzt werden soll – vermutlich mit Genehmigung korrupter oder erpressbarer deutscher Politiker.
Passt auch zu Merkel, die ja heute in aller Öffentlichkeit die angeblichen Vorzüge einer globalen Diktatur mit dem Namen NWO auf dem evangelischen Kirchentag gepriesen hat.
Da sich Vieles nicht mehr verheimlichen lässt, haben die Politiker jetzt anscheinend den Auftrag bekommen, all ihre Pläne möglichst positiv zu “verkaufen” und zu versuchen, das Volk zu verdummen.
Leute, die sich nicht damit beschäftigt haben, lassen sich möglicherweise diesen Mist verkaufen und merken nicht, was sich dahinter verbirgt.
Mir imponieren die Schweizer Bürger, die derzeit ganz offensiv gegen die Globalisierungspläne vorgehen und sich auch mit Händen und Füßen wehren, der EU beizutreten, die ja in zunehmendem Maße von der UN und Nato instrumentalisiert wird.
Langsam scheint sich was zu tun:
Ja, auch gerade gelesen:
Selten so einen hanebüchenen Schwachsinn gelesen wie in diesem “Artikel”. Sorry, aber nur weil man die Firma RSA nicht leiden mag, muss man nicht so einen Blödsinn verbreiten.