Contact
QR code for the current URL

Story Box-ID: 585491

QGroup GmbH Am Joseph 15 61273 Wehrheim, Germany http://www.qgroup.de
Contact Ms Sylvia Mohrhardt +49 69 90505921
Company logo of QGroup GmbH

Hack-Analyse RSA (EMC) / Lockhead Martin (2011)

(PresseBox) (Frankfurt am Main, )
Interessanterweise hat dieser insgesamt doch recht spektakuläre Angriff aus dem letzten Jahr in den deutschen Medien weitaus weniger Wellen geschlagen als in den USA. Dabei ist die Marktverbreitung der Token von RSA im deutschen Unternehmens- und Behördenumfeld absolut vergleichbar. Aber mehr hierzu später.

Das eigentliche Ziel

Eigentliches Ziel ist vermutlich Wirtschaftsspionage bei Lockhead Martin. Doch als großer Rüstungskonzern und Lieferant für Sicherheitsarchitekturen an die US Regierung ist dies kein leichtes Angriffsziel. Die größte Wahrscheinlichkeit einen erfolgreichen Angriff auf das Unternehmen durchzuführen, führt aufgrund der starken Sicherheitsinfrastruktur über das Kompromittieren eines erlaubten Zugriffs. Bei normalen Anwendern wäre dies das Herausfinden oder Erraten des Kennwortes. Im Fall Lockhead Martins werden jedoch sogenannte 2-Faktor-Token eingesetzt. Ein Kennwort alleine genügt nicht, zusätzlich wird der Token benötigt, um eine Authentifizierung durchzuführen. Doch die eingesetzten Token des Herstellers RSA (aus dem Konzern EMC) haben aufgrund ihrer Architektur ein Problem: die Sicherheit der Token hängt an sogenannten „Seeds“ und der jeweils aktuellen Uhrzeit. Diese Seeds, oder auch Ursprungsschlüssel, werden beim Herstellungsprozess auf die Token aufgebracht, sie sind dem Hersteller somit bekannt.

Was zuerst geschah

Im März 2011 erhalten Mitarbeiter von RSA, dem Hersteller der bei Lockhead Martin im Einsatz befindlichen 2-Faktor-Token, eine E-Mail mit dem Anhang „2011 Recruitment plan.xls“ und dem einfachen Text "I forward this file to you for review. Please open and view it". Beim Öffnen der Microsoft Excel-Datei wird automatisch ein darin eingebundenes Adobe Flash-Objekt ausgeführt. Dieses Flash-Objekt nutzt eine zu diesem Zeitpunkt noch nicht behobene Schwachstelle in dem Adobe Flashplayer aus, um ein sogenanntes „Backdoor“ zu installieren, also ein im Hintergrund unsichtbar arbeitendes Programm zur Fernsteuerung des Rechners.
Über das Backdoor ist es dem Angreifer nun weiterhin möglich, in Ruhe von dem kompromittierten System das Netzwerk innerhalb des Unternehmens RSA von einem vertrauenswürdigen Rechner aus zu analysieren – auch wenn der Anwender die E-Mail als vermeintlichen Irrläufer ignoriert.
Für den Laien mag dieses Vorgehen bereits spektakulär klingen, allerdings handelt es sich hier tatsächlich noch um einen Standard-Angriff aus der Retorte, einzig die frühe Ausnutzung der nicht behobenen Flash-Lücke ist anspruchsvoller. Den Angreifern ist es gelungen gleich zwei Systeme zu kompromittieren und so von zwei getrennten Bereichen im Netzwerk aus zu agieren.

Das Versteckspiel

Jetzt kommt der interessantere Teil der Geschichte. Als Security-Hersteller besitzt auch RSA ein sogenanntes Security Response Team, welches bei Anomalien im Netzwerk aktiv wird und versucht, den Angreifer zu überführen und Schaden abzuwenden. Wenn ein Angreifer anfängt im Netzwerk zu wühlen oder unerlaubte Zugriffe durchzuführen, werden Alarmmeldungen generiert.
Aber ähnlich wie man das Handy-Klingeln auf einem Rock-Konzert kaum noch wahrnimmt sind auch die Angreifer vorgegangen: Während über den einen kompromittierten Rechner laut Rock‘n‘Roll gespielt wurde, sind die zarten Analysen des anderen Rechners in der Lautstärke untergegangen. Da das Security Response Team genauere Informationen des Angreifers herausfinden wollte, ist die Verbindung nicht sofort gekappt worden, sondern man hat Aktivitäten beobachtet sowie eine Rückverfolgung zur Quelle gestartet.

Etappensieg für die Angreifer

Genauere Details über das Wie sind nicht bekannt, aber es ist den Angreifern durch dieses Ablenkungsmanöver gelungen den Algorithmus der 2-Faktor-Token von RSA zu erbeuten, und viel entscheidender noch auch die Ursprungsschlüssel im Umlauf befindlicher Token, den sogenannten Seeds, aus der zentralen Datenbank zu extrahieren. Damit können die Angreifer nun eine virtuelle Kopie der Token auf dem Computer simulieren.

Der nächste Schritt

Nun können die Angreifer die vermeintlich zusätzliche Sicherheit der Token aushebeln. Alles was sie noch wissen müssen, um die virtuelle Identität eines Mitarbeiters anzunehmen, ist das Kennwort eines Anwenders sowie die ihm zugewiesene Seriennummer des Tokens. Lockhead Martin hat bezüglich der weiteren Details des Angriffs keinerlei Informationen veröffentlicht. Vermutlich wurden hier Phishingmails verwendet, in denen die Mitarbeiter aufgefordert wurden, ihr Kennwort aufgrund von Sicherheitsmaßnahmen zu ändern, dabei wurde die Token-Nummer gleich mit abgefragt - und eine Änderung des Kennworts war auch nur bei gültiger Token-Nummer möglich, denn die Prüfung auf Gültigkeit konnten die Angreifer durch die erbeuteten Algorithmen ebenfalls durchführen.

Reaktion von RSA/EMC

RSA hat seitdem begonnen „auf Anfrage“ die Token ihrer Kunden auszutauschen. Dieses Vorgehen lässt sich am besten mit dem Ruf des Gefängniswärters vergleichen: „Sie haben die Tür aus den Angeln gehoben, lasst uns schnell eine neue Tür einsetzen“. Anstatt also das Verfahren grundlegend zu reformieren geht nun das gleiche Spiel von vorne los.

Website Promotion

Website Promotion
Website QGroup

QGroup GmbH

Die QGroup GmbH (www.qgroup.de) bietet ihren Kunden seit über 10 Jahren Wissen in den Bereichen Security und Trusted Computing. Der Philosophie "einfach. sicher. verfügbar." folgend wird seit dem Jahr 2000 das eigene Produkt QTrust Server entwickelt – die Basis für QTrust 2go. Die in Frankfurt am Main ansässige Gesellschaft ist spezialisiert auf die Bereiche IT Sicherheit und Hochverfügbarkeit. Das Unternehmen ist mit seinen Lösungen international, sowohl im kommerziellen als auch im Regierungs- und Militär Bereich tätig.

The publisher indicated in each case (see company info by clicking on image/title or company info in the right-hand column) is solely responsible for the stories above, the event or job offer shown and for the image and audio material displayed. As a rule, the publisher is also the author of the texts and the attached image, audio and information material. The use of information published here is generally free of charge for personal information and editorial processing. Please clarify any copyright issues with the stated publisher before further use. In case of publication, please send a specimen copy to service@pressebox.de.
Important note:

Systematic data storage as well as the use of even parts of this database are only permitted with the written consent of unn | UNITED NEWS NETWORK GmbH.

unn | UNITED NEWS NETWORK GmbH 2002–2024, All rights reserved

The publisher indicated in each case (see company info by clicking on image/title or company info in the right-hand column) is solely responsible for the stories above, the event or job offer shown and for the image and audio material displayed. As a rule, the publisher is also the author of the texts and the attached image, audio and information material. The use of information published here is generally free of charge for personal information and editorial processing. Please clarify any copyright issues with the stated publisher before further use. In case of publication, please send a specimen copy to service@pressebox.de.