info@PortalDerWirtschaft.de | 02635/9224-11
Suchmaschinenoptimierung
mit Content-Marketing - Ihre News
QGroup GmbH |

Hack-Analyse RSA (EMC) / Lockhead Martin (2011)

Bewerten Sie hier diesen Artikel:
0 Bewertungen (Durchschnitt: 0)


Interessanterweise hat dieser insgesamt doch recht spektakuläre Angriff aus dem letzten Jahr in den deutschen Medien weitaus weniger Wellen geschlagen als in den USA. Dabei ist die Marktverbreitung der Token von RSA im deutschen Unternehmens- und Behördenumfeld...

Frankfurt am Main, 03.04.2013 - Interessanterweise hat dieser insgesamt doch recht spektakuläre Angriff aus dem letzten Jahr in den deutschen Medien weitaus weniger Wellen geschlagen als in den USA. Dabei ist die Marktverbreitung der Token von RSA im deutschen Unternehmens- und Behördenumfeld absolut vergleichbar. Aber mehr hierzu später.

Das eigentliche Ziel

Eigentliches Ziel ist vermutlich Wirtschaftsspionage bei Lockhead Martin. Doch als großer Rüstungskonzern und Lieferant für Sicherheitsarchitekturen an die US Regierung ist dies kein leichtes Angriffsziel. Die größte Wahrscheinlichkeit einen erfolgreichen Angriff auf das Unternehmen durchzuführen, führt aufgrund der starken Sicherheitsinfrastruktur über das Kompromittieren eines erlaubten Zugriffs. Bei normalen Anwendern wäre dies das Herausfinden oder Erraten des Kennwortes. Im Fall Lockhead Martins werden jedoch sogenannte 2-Faktor-Token eingesetzt. Ein Kennwort alleine genügt nicht, zusätzlich wird der Token benötigt, um eine Authentifizierung durchzuführen. Doch die eingesetzten Token des Herstellers RSA (aus dem Konzern EMC) haben aufgrund ihrer Architektur ein Problem: die Sicherheit der Token hängt an sogenannten 'Seeds' und der jeweils aktuellen Uhrzeit. Diese Seeds, oder auch Ursprungsschlüssel, werden beim Herstellungsprozess auf die Token aufgebracht, sie sind dem Hersteller somit bekannt.

Was zuerst geschah

Im März 2011 erhalten Mitarbeiter von RSA, dem Hersteller der bei Lockhead Martin im Einsatz befindlichen 2-Faktor-Token, eine E-Mail mit dem Anhang '2011 Recruitment plan.xls' und dem einfachen Text "I forward this file to you for review. Please open and view it". Beim Öffnen der Microsoft Excel-Datei wird automatisch ein darin eingebundenes Adobe Flash-Objekt ausgeführt. Dieses Flash-Objekt nutzt eine zu diesem Zeitpunkt noch nicht behobene Schwachstelle in dem Adobe Flashplayer aus, um ein sogenanntes 'Backdoor' zu installieren, also ein im Hintergrund unsichtbar arbeitendes Programm zur Fernsteuerung des Rechners.

Über das Backdoor ist es dem Angreifer nun weiterhin möglich, in Ruhe von dem kompromittierten System das Netzwerk innerhalb des Unternehmens RSA von einem vertrauenswürdigen Rechner aus zu analysieren ? auch wenn der Anwender die E-Mail als vermeintlichen Irrläufer ignoriert.

Für den Laien mag dieses Vorgehen bereits spektakulär klingen, allerdings handelt es sich hier tatsächlich noch um einen Standard-Angriff aus der Retorte, einzig die frühe Ausnutzung der nicht behobenen Flash-Lücke ist anspruchsvoller. Den Angreifern ist es gelungen gleich zwei Systeme zu kompromittieren und so von zwei getrennten Bereichen im Netzwerk aus zu agieren.

Das Versteckspiel

Jetzt kommt der interessantere Teil der Geschichte. Als Security-Hersteller besitzt auch RSA ein sogenanntes Security Response Team, welches bei Anomalien im Netzwerk aktiv wird und versucht, den Angreifer zu überführen und Schaden abzuwenden. Wenn ein Angreifer anfängt im Netzwerk zu wühlen oder unerlaubte Zugriffe durchzuführen, werden Alarmmeldungen generiert.

Aber ähnlich wie man das Handy-Klingeln auf einem Rock-Konzert kaum noch wahrnimmt sind auch die Angreifer vorgegangen: Während über den einen kompromittierten Rechner laut Rock?n?Roll gespielt wurde, sind die zarten Analysen des anderen Rechners in der Lautstärke untergegangen. Da das Security Response Team genauere Informationen des Angreifers herausfinden wollte, ist die Verbindung nicht sofort gekappt worden, sondern man hat Aktivitäten beobachtet sowie eine Rückverfolgung zur Quelle gestartet.

Etappensieg für die Angreifer

Genauere Details über das Wie sind nicht bekannt, aber es ist den Angreifern durch dieses Ablenkungsmanöver gelungen den Algorithmus der 2-Faktor-Token von RSA zu erbeuten, und viel entscheidender noch auch die Ursprungsschlüssel im Umlauf befindlicher Token, den sogenannten Seeds, aus der zentralen Datenbank zu extrahieren. Damit können die Angreifer nun eine virtuelle Kopie der Token auf dem Computer simulieren.

Der nächste Schritt

Nun können die Angreifer die vermeintlich zusätzliche Sicherheit der Token aushebeln. Alles was sie noch wissen müssen, um die virtuelle Identität eines Mitarbeiters anzunehmen, ist das Kennwort eines Anwenders sowie die ihm zugewiesene Seriennummer des Tokens. Lockhead Martin hat bezüglich der weiteren Details des Angriffs keinerlei Informationen veröffentlicht. Vermutlich wurden hier Phishingmails verwendet, in denen die Mitarbeiter aufgefordert wurden, ihr Kennwort aufgrund von Sicherheitsmaßnahmen zu ändern, dabei wurde die Token-Nummer gleich mit abgefragt - und eine Änderung des Kennworts war auch nur bei gültiger Token-Nummer möglich, denn die Prüfung auf Gültigkeit konnten die Angreifer durch die erbeuteten Algorithmen ebenfalls durchführen.

Reaktion von RSA/EMC

RSA hat seitdem begonnen 'auf Anfrage' die Token ihrer Kunden auszutauschen. Dieses Vorgehen lässt sich am besten mit dem Ruf des Gefängniswärters vergleichen: 'Sie haben die Tür aus den Angeln gehoben, lasst uns schnell eine neue Tür einsetzen'. Anstatt also das Verfahren grundlegend zu reformieren geht nun das gleiche Spiel von vorne los.


Für den Inhalt der Pressemitteilung ist der Einsteller, PresseBox.de, verantwortlich.

Pressemitteilungstext: 687 Wörter, 5314 Zeichen. Als Spam melden


Kommentare:

Es wurde noch kein Kommentar zu diesem Thema abgegeben.



Ihr Kommentar zum Thema





Weitere Pressemitteilungen von QGroup GmbH lesen:

QGroup GmbH | 16.09.2016

QGroup präsentiert Best of Hacks: Highlights Juli 2016

Frankfurt am Main, 16.09.2016 - Politische Motive stehen auch im Juli bei zahlreichen Hackingattacken in Vordergrund. Im Südosten Asiens gibt es aufgrund territorialer Meinungsverschiedenheiten um Inseln im südchinesischen Meer gleich mehrere Opfer...
QGroup GmbH | 19.08.2014

IT-Sicherheitshersteller QGroup präsentiert: Best of Hacks Juli 2014

Frankfurt am Main, 19.08.2014 - Der Juli ruft wie auch im Juni Hacktivisten auf den Plan, die hauptsächlich unter der Flagge von #OpWorldcup und #OpSaveGaza operieren. In diesem Zuge werden etliche Regierungswebseiten und -server angegriffen, den wo...
QGroup GmbH | 19.08.2014

IT-Sicherheitshersteller QGroup präsentiert: Best of Hacks Juni 2014

Frankfurt am Main, 19.08.2014 - Der Trend hält an, es ist Sommer und die Hacker sind anderweitig beschäftigt. Auf Hacktivisten trifft dies allerdings nur bedingt zu. Denn auch wenn große Unternehmen wie Evernotes gehackt werden, ist es doch das Mo...