A empresa do grupo da EMC foi atingida por um ciberataque e receia que a robustez dos tokens SecurID possa estar em risco.
As informações roubadas num ciberataque de que a RSA foi alvo podem “reduzir a eficácia” dos tokens de dois factores SecurID. Em nota publicada no site da empresa o CEO da RSA, Art Coviello, disse que a organização está “a comunicar essa situação aos clientes e a sugerir medidas imediatas para reforçar as suas implantações SecurID.”
“Neste momento estamos confiantes de que as informações extraídas não permitir um ataque directo bem sucedido a qualquer um dos nossos clientes. Mas a informação pode ser usada para reduzir a eficácia de uma implantação de dois factores de autenticação, como parte de um ataque mais alargado”, diz Coviello. A nota de Coviello ofereceu poucos detalhes sobre o que aconteceu, mas disponibiliza algumas orientações para os clientes.
O cyberataque é “recente” e tratou-se de um incidente do tipo Advanced Persistent Threat, explica Coviello. É semelhante ao ataque dirigido aos sistemas da Google e mais de 100 outras empresas no final de 2009. O processo de ofensiva baseia-se no e-mail ou na Web, visando obter uma posição ou acesso dentro dos sistemas da empresa. Depois os hackers, “percorrem” as redes internas da empresa em busca de dados sensíveis, para roubarem dados sem serem detectados.
Neste caso, os hackers encontraram informações sobre os produtos da RSA SecurID, usados em PC, dispositivos USB, telefones e chaves, em cerca de 25 mil empresas para dar uma camada extra de segurança – além de um nome de utilizador e senha – na autenticação de pessoas em programas ou redes .
Ao obterem acesso às redes internas da RSA e ao código-fonte do SecurID pode dar aos criminosos uma maneira subtil de atacar utilizadores SecurID, mas não lhes deve proporcionar uma forma de quebrar a tecnologia de encriptação RSA, diz Thorsten Holz, professor adjunto na Universidade de Ruhr, em Bochum, que estuda a segurança de computadores. “Se a RSA tiver implantado tudo correctamente, não há razões de preocupação”, considera.
Contudo, se os hackers conseguiram de alguma forma obter “registos- semente“ de chaves de encriptação instaladas nos tokens SecureID, então os cenários podem tornar-se muito piores, segundo Thierry Zoller, responsável para área da segurança numa consultora europeia. Isso porque esses “registos-semente” são usados para gerar as senhas únicas e irrepetíveis gerados pela tecnologia SecureID a cada 30 segundos ou menos, a fim de autenticar o utilizador. “Se o atacante tiver acesso ao registo, pode calcular o número que aparece no token durante a autenticação”, explica Zoller.
Na posse das senhas SecureID na mão, os criminosos ainda precisam de conhecer o nome de utilizador regular e senhas para entrar nas redes ou nos programas. Mas o trabalho estaria muito mais facilitado.
RSA pouco clara sobre o que aconteceu
A declaração da RSA não é clara sobre o que aconteceu exactamente e sobre o que os hackers foram capazes de obter da rede da empresa.
Segundo Nate Lawson, especialista de encriptação e fundador da Root Labs, simplesmente não há informação suficiente para perceber a gravidade do problema. “Se eu fosse um cliente deles teria dificuldades em saber o que preciso de fazer. Eles recomendam uma série de coisas que as pessoas já estão a fazer”, explica.
Nenhum produto EMC foi afectado pelo ataque e a RSA não acha outros produtos da RSA tenham sido afectados. Além disso, não há evidências de que o cliente ou a informação dos empregados tenha sido comprometida, diz Coviello.