Το 2011, ένα hack συγκλόνισε τη σκηνή ασφαλείας. Κινέζοι hackers κατάφεραν να αποκτήσουν πρόσβαση στους RSA servers και να διανέμουν κλειδιά SecurIDs για τον έλεγχο ταυτότητας δύο παραγόντων (2FA).
Μετά από 10 χρόνια, η συμφωνία μη αποκάλυψης (NDA από το non-disclosure agreement) στην οποία υπόκεινται τα δύο μέρη έχει πλέον λήξει. Έτσι ο Andy Greenberg δημοσίευσε ένα άρθρο με τις πληροφορίες που έχει.
Το 2011, έγινε γνωστό ότι άγνωστα άτομα μπόρεσαν να διεισδύσουν στους RSA servers και να κλέψουν δεδομένα. Η RSA πωλεί κρυπτογραφικές λύσεις που βασίζονται στο SecureID του κατασκευαστή.
Το RSA SecurID, παλαιότερα αναφερόταν σαν SecurID, είναι ένας μηχανισμός που αναπτύχθηκε από την RSA (θυγατρική της Dell Technologies) για τη διενέργεια ελέγχου ταυτότητας δύο παραγόντων για έναν χρήστη. Ο μηχανισμός ελέγχου ταυτότητας RSA SecurID αποτελείται από ένα “token” – από hardware (π.χ. ένα κλειδί fob) ή από κάποιο λογισμικό (soft token) – το οποίο εκχωρείται σε έναν χρήστη και το οποίο δημιουργεί έναν κωδικό ελέγχου ταυτότητας σε σταθερά διαστήματα (συνήθως 60 δευτερόλεπτα) χρησιμοποιώντας ένα ενσωματωμένο ρολόι και το εργοστασιακά κωδικοποιημένο τυχαίο κλειδί της κάρτας (γνωστό ως “seed”). Το seed είναι διαφορετικό για κάθε token και φορτώνεται στον αντίστοιχο διακομιστή RSA SecurID (RSA Authentication Manager, πρώην ACE/Server). Διατίθενται επίσης tokens κατ ‘απαίτηση, τα οποία δίνουν κάποιο κωδικό πρόσβασης μέσω email ή SMS.
Υπάρχουν διάφορες λύσεις RSA SecureID, όπως το USB stick που φαίνεται παραπάνω. Διάφορες υπηρεσίες όπως οι VPN servers, firewalls ή OpenSSH που προσφέρουν τη δυνατότητα χρήσης του SecurID για έλεγχο ταυτότητας. Αργότερα αποδείχθηκε ότι hackers σερβίριζαν seeds και πιθανώς σειριακούς αριθμούς SecureID που εκδόθηκαν από την RSA.
Με άλλα λόγια, ολόκληρη η υποδομή RAS SecuritID κατέρρευσε. Τον Μάιο του 2011, οι διακομιστές της αμυντικής βιομηχανίας Lockheed Martin παραβιάστηκαν. Σύμφωνα με το WikiPedia, διάφοροι συνδέουν το γεγονός με κάποια υποτιθέμενη κλοπή των seeds της RSA.
RSA 10 χρόνια αργότερα
Τώρα 10 χρόνια μιλάμε πια από το έτος 2021. Υπήρξαν διαχειριστές που βίωσαν τον εφιάλτη των επιθέσεων στο λογισμικό SolarWinds Orion σε τρωτά σημεία του Microsoft Exchange. Το 2011, ο κόσμος κοίταζε ήδη στην άβυσσο της ασφάλειας, και 10 χρόνια αργότερα κανείς δεν φαίνεται να έχει μάθει.
In 2011, RSA was hacked by Chinese spies, who stole the "seed" values used to generate codes on SecurID 2fa tokens, shocking the security world. Now, after 10 years, the NDAs of the staff involved have expired. This is the untold story they shared with me: https://t.co/hRLfuDCFo1
— Andy Greenberg (@agreenberg at the other places) (@a_greenberg) May 20, 2021
Οι υπάλληλοι που διαχειρίστηκαν το περιστατικό της RSA το 2011 υπέγραψαν μια συμφωνία μη αποκάλυψης (NDA) στην εταιρεία, η οποία ίσχυε για 10 χρόνια. Αυτή η περίοδος έληξε, και έτσι επιτρέπεται πλέον στους υπαλλήλους να μιλήσουν δημόσια για την υπόθεση.
Ο δημοσιογράφος Andy Greenberg, ο οποίος έκανε αποκαλύψεις στην υπόθεση Snowden, φαίνεται να έχει πολλές πληροφορίες από την ομάδα των ανθρώπων που συμμετείχαν στο hack της RSA. Φαίνεται ότι ήταν Κινέζοι hackers που απέσπασαν seeds ή δεδομένα από τους διακομιστές της RSA – και το όλο θέμα κατέληξε στις μονάδες κατασκοπείας του Κινέζικου στρατού, οι οποίοι φυσικά ήθελαν να έχουν πρόσβαση στο hack.
O Greenberg έχει συγκεντρώσει πολλές λεπτομέρειες σε ένα άρθρο του Wired. Εάν ανοίξετε το άρθρο σε κατάσταση ανώνυμης περιήγησης, θα μπορείτε να το διαβάσετε χωρίς να σας ζητηθεί να εγγραφείτε.
