Nachrichten in aller Kürze
Alles zur Community
Nachrichten, die zu Ihnen kommen: Newsletter, Feeds und SMS
Alles zu unseren mobilen Angeboten: Apps, Mobilversion und SMS
Unsere Radio- und TV-Angebote
Die Zeitung im Internet: Abo, E-Paper, Anzeigen und mehr
Alles über die Redaktion von derStandard.at
Alles über Onlinewerbung, Stellenanzeigen und Immobilieninserate
SecurID-Token der Firma RSA in Minuten geknackt
Diese Meldung dürfte den IT-Spezialisten in Unternehmen und Behörden auf der ganzen Welt die Schweißperlen auf die Stirn treiben: Einer Gruppe von Computerexperten ist es nach eigener Aussage gelungen, in Windeseile einen der weit verbreiteten Sicherheitsschlüssel (Token) zu knacken, mit denen sich Mitarbeiter von außen in firmeneigene Computernetzwerke einwählen oder vertrauliche Daten verschlüsseln können.
Bislang als sicher gegolten
Die ins Zwielicht geraten Token sind millionenfach verbreitet. Die handlichen Geräte in der Größe eines Schlüsselanhängers geben zufällig erzeugte Zahlenfolgen aus, die nur für jeweils kurze Zeit als Passwort dienen. So ist es möglich, damit auch an sensible Daten zu gelangen. Hacker bräuchten - wenn überhaupt - viel zu lange, um den Code zu entschlüsseln, hieß es bisher vonseiten der Hersteller.
13 Minuten
Die Computerexperten, die sich selbst "Project-Team Prosecco" nennen, stammen aus mehreren europäischen Universitäten. Sie wollen einen der gängigsten Token nun in gerade mal 13 Minuten überwunden haben. Ihre Entdeckung beschreiben sie in einem bereits im Internet veröffentlichten Papier, das sie auf einer Kryptographiekonferenz im August vorstellen werden. "Die Attacken sind effizient genug, um praktikabel zu sein", heißt es in der 22-seitigen Abhandlung.
RSA
Der erwähnte Token stammt vom US-Unternehmen RSA, einem der größten Hersteller derartiger Geräte. Die Firma erklärte, der Sache nachzugehen. Es ist nicht das erste Mal, dass RSA in die Schlagzeilen gerät. Im vergangenen Jahr mussten Millionen Token ausgetauscht werden, nachdem Hacker in die Systeme der Firma eingedrungen waren. Später nutzten die Hacker die erbeuteten Informationen, um einen Angriff auf den US-Rüstungsriesen Lockheed Martin zu starten.
Ganze Reihe von Geräten verwundbar
Eine ganze Reihe von Verschlüsselungsgeräten seien verwundbar, erklärten die Computerexperten. Unter anderem wird ein System von Siemens in dem Papier erwähnt. Ein Sprecher des Münchener Technologiekonzerns erklärte auf Anfrage der dpa, dass das sogenannte Siemens CardOS zwischenzeitlich an den französischen IT-Dienstleister Atos Origin verkauft worden sei. Hier hatten die Computerexperten 21 Minuten zum Knacken benötigt.
Update: 27.6.
Seitens RSA erreichte uns am Mittwoch folgende Stellungnahme: "Die Angriffsmethode, die hier untersucht worden ist, ist in der Praxis nutzlos, da hier die Smartcard sowie der entsprechende PIN benötigt werden." Eine ausführliche Stellungnahme gibt das Unternehmen in einem Blog-Eintrag. (APA/red, 27.6.2012)
Angreifer sollen auf einem technisch sehr hohen Niveau vorgegangen sein
Google-Forscher legt Fehler direkt offen - CERT.at: Keine "Alarmstufe Rot"
User merken auch nach Installation von Software nichts von der Manipulation
McAfee: Deutlicher Anstieg von Schadprogrammen
Verteidigungsministerium beklagt "Fehleinschätzungen" Washingtons
Experten Warnen: USA noch nicht bereit für umfassenden Cyberkrieg
Angriffe gegen Energiekonzerne zuletzt zugenommen
Abbuchungen erfolgten von falscher Karte, Problem bei zwei Handelsketten entdeckt
Errechnet Privacy-Score für jedes einzelne Programm und bewertet Rechte
Innenministerin Mikl-Leitner will digitale Straftaten auch bei StGB-Novelle diskutieren
US-Politiker machen Iran verantwortlich
Möglicherweise bis zu 22 Millionen Benutzerkennungen ausgespäht
Untersuchungen sollen Ursprung des Spionage-Tools abklären
Microsoft lanciert Warnung - Schädling tarnt sich als Browser-Erweiterung
Kaspersky: Spammer weichen allerings immer öfter auf soziale Netzwerke aus
Sicherheitsforscher konnten über ungepatchte Lücke auf Gebäudeverwaltung zugreifen
Vertrag gilt für ein Jahr und zehn Rechner
"Man braucht nur wenige Klicks, bis man am virtuellen Schaltpult eines Heizkraftwerks steht"
Twitter rechnet künftig mit weiteren Attacken auf Medien
Polizei warnt vor Schädling - Virus versucht, Geld vom User zu erpressen
Unbekannten kopierten komplette Kreditkartensätze von Servern der Plattform Traveltainment
Nicht signierten Applets wird nun stets eine Warnung vorgeschalten
Angesichts der großangelegten Brute-Force-Attacke sollte einiges beachtet werden
Framework "SIMON" schleust sich in Flugmanagementsysteme ein - Übertragungsprotokoll anfällig
Malware installiert Bitcoin-Mining-System im Hintergrund und sorgt für spürbaren Performance-Einbruch des Computers
Hier das Statement von RSA bzgl. der Untersuchung des RSA SecurID Token 800. Die Angriffsmethode, die hier untersucht worden ist, ist in der Praxis nutzlos, da hier die Smartcard sowie der entsprechende PIN benötigt werden.
Die ausführliche Reaktion von RSA zu diesen konstruierten, akademischen Forschungsergebnissen finden Sie in der Stellungnahme von Sam Curry, RSA.
http://blogs.rsa.com/curry/don... t-cracked/
EMC Österreich
Tja, viel Aufwand für eine unsichere Technik.
Schon vor Jahrzehnten wurde versucht, die CAD-User mit Hardware-Token zu gängeln. Die waren auch nicht immer so erfolgreich.
Einstein hatte also doch vollkommen recht und jede Generation meint aufs Neue, sie hätte was sicheres entwickelt ;-)
.. das andere in den USB-Port. So what?
Beides sind (waren) sehr teure Techniken, welche Arbeitskräfte in der Entwicklung für wichtigere Arbeiten "blockieren". Der Kostennutzen kommt dabei auch nie wirklich zur Sprache ;-)
Stimmt leider nicht:
RSA wurde vor ca. einem Jahr gehackt, schon damals wurde SecureID kompromittiert. Siehe: http://www.heise.de/security/... 10245.html Die gestohlenen Daten wurden dann bei einem Angriff auf Lockheed Martin im Mai letzten Jahres verwendet.
Dann heiß es schon auf Heise: "Sicherheitsspezialisten gehen deshalb davon aus, dass SecurID-Tokens keine ausreichende Sicherheit mehr bieten und das System als geknackt angesehen werden muss."
Bist Du sicher :) ? http://www.thealgorerhythm.com
* Don't Panik *
Etwas sehr vereinfacht ausgedrueckt: Das Verfahren funktioniert so das man eine Reihe an anfragen stellt, und dann mit den Resultaten auf den Schluessel kommt um Zukünftige Resultate zu prognostizieren.
Damit das geht, braucht jemand Zugang zu dem hip (Geraet) selbst. Also so lang der nicht abhanden kommt, besteht noch kein Grund zur Panik.
Es handelt sich hierbei um eine Sonderform der Adaptive chosen-ciphertext attack http://en.wikipedia.org/wiki/Adap... ext_attack
Wer es genau wissen will, hier gibt es das Paper zum Nachlesen: http://hal.inria.fr/docs/00/7... R-7944.pdf
Ich hab selbst einen bekommen, allerdings ist das ein anderes Modell.
Prosecco hat den USB Token RSA Secure ID 800 geknackt. Nur geht das aus dem Artikel nicht hervor.
In der Abhandlung stehts genau drinnen.
Modellnummer ist auf der Unterseite des Token zu finden.
Die Kommentare von Usern und Userinnen geben nicht notwendigerweise die Meinung der Redaktion wieder. Die Redaktion behält sich vor, Kommentare, welche straf- oder zivilrechtliche Normen verletzen, den guten Sitten widersprechen oder sonst dem Ansehen des Mediums zuwiderlaufen (siehe ausführliche Forenregeln), zu entfernen. Der/Die Benutzer/in kann diesfalls keine Ansprüche stellen. Weiters behält sich die derStandard.at GmbH vor, Schadenersatzansprüche geltend zu machen und strafrechtlich relevante Tatbestände zur Anzeige zu bringen.