Aufgearbeitet: Der RSA-Hack aus 2011 durch Chinesen

Sicherheit (Pexels, allgemeine Nutzung)[English]Im Jahr 2011 rüttelte ein Hack des Sicherheitsanbieters die Sicherheitsszene auf. Denn chinesischen Hackern war es gelungen, die RSA-Server zu hacken und die Seed-Schlüssel zum Generieren von SecurIDs für die Zweifaktor-Authentifizierung (2FA) zu stehlen. Nach 10 Jahren ist jetzt die Vertraulichkeitsvereinbarung (NDA) ausgelaufen, der Beteiligte unterlagen. Hat Andy Greenberg genutzt, um aus den erhaltenen Informationen einen Beitrag zu veröffentlichen.


Anzeige

Der RSA-Hack im Jahr 2011

2011 habe ich hier im Blog noch kaum über Sicherheitsthemen berichtet, daher ist der betreffende Hack etwas an mir vorbei gegangen. Zum Sachverhalt an sich: 2011 wurde bekannt, dass Unbekannte in Server des Herstellers RSA eindringen und Daten stehlen konnten. Heise hatte im März 2011 darüber berichtet.  Nun ist RSA nicht irgend jemand, sondern verkauft Kryptolösungen, die auf der SecureID-Lösung des Herstellers aufbauen. Die Wikipedia schreibt dazu:

Die SecurID ist ein Sicherheitssystem der Firma RSA Security zur Authentisierung, also zur Überprüfung der Identität von Benutzern („Authentication Manager"). Dazu wird ein Authentifikator benutzt, eine Hardware, „SecurID Token" genannt. Die Authentisierung ist eine Zwei-Faktor-Authentisierung, durch die eine hohe Sicherheit gewährleistet werden soll […].

RSA SecureID-Lösung
RSA SecureID-Lösung, Quelle: Alexander Kirk Wikimedia Creative Commons 3.0

Es gibt verschiedene RSA SecureID-Lösungen, wie der oben gezeigte USB-Stick. Verschiedene Zugangslösungen wie VPN-Server, Firewalls oder OpenSSH bieten die Möglichkeit, SecurID zur Authentifizierung zu nutzen. Und die Umschreibung "es wurden Daten von Servern abgezogen" erwies sich später als: Die Hacker haben die Seeds und wohl die Seriennummern der von RSA herausgegebenen SecureID-Lösungen abgezogen.

Mit diesen Informationen können beliebige One-Time-Passwords (OTP) berechnet werden. Sprich: Die gesamte RAS SecuritID-Infrastruktur war kompromittiert. Im Mai 2011 wurden Server des Rüstungsproduzenten Lockheed Martin gehackt. Verschiedene Quellen gehen, laut WikiPadia von einem Zusammenhang mit dem angenommenen Diebstahl der Seeds bei RSA aus. Aufgrund des Angriffs werden etwa 40 Millionen SecurID-Tokens weltweit ausgetauscht – heise hat in diesem Artikel davon berichtet. Security Insider hat das Ganze 2013 nochmals in diesem Artikel aufbereitet.


Anzeige

10 Jahre danach

Wir sind nun 10 Jahre weiter und schreiben das Jahr 2021. Gerade haben wir den Alptraum der Lieferkettenangriffe auf die SolarWinds Orion-Software oder der Hafnium-Angriff auf Microsoft Exchange-Schwachstellen sowie weitere fette Hacks und Lieferkettenangriffe erlebt. Beim Schreiben dieses Texts ist mir dann so spontan durch den Kopf geschossen: Gegen den obigen Vorfall ist das eigentlich Pille-Palle. Oder anders formuliert: 2011 hat die Welt bereits in den sicherheitstechnische Abgrund geblickt, aber 10 Jahre später stelle ich fest "es wurde nix daraus gelernt".

Die 2011 mit dem RSA-Vorfall befassten Mitarbeiter wurden durch das Unternehmen einer Verschwiegenheitsvereinbarung (Non Disclosure Agreement, NDA) unterworfen, welches 10 Jahre galt. Diese Frist ist nun abgelaufen, so dass die Mitarbeiter nun über den Fall öffentlich sprechen dürfen. Der Reporter Andy Greenberg, der bereits in der Snowden-Sache die Enthüllungen vornahm, hat nun aus dem Personenkreis, der mit dem RSA-Hack betraut war, mehr Informationen bekommen. Es waren wohl chinesische Hacker, die die Seeds bzw. Daten von den RSA-Servern abzogen – und das Ganze landete bei den Spionage-Einheiten des chinesischen Militärs, die dann damit auf die Jagd gingen. Ich bin die Tage über den nachfolgenden Tweet von Andi Greenberg auf das Thema aufmerksam geworden.

RSA-Hack 2011

Greenberg hat das Ganze in diesem Wired-Artikel ausgebreitet  – ist zwar alles in English, aber möglicherweise eine nette Lektüre, wenn Pfingsten schlechtes Wetter herrscht. Wenn man den Artikel im Inkognito-Mode des Browsers aufruft, sollte er sich ohne Aufforderung zur Registrierung lesen lassen.


Anzeige

Dieser Beitrag wurde unter Sicherheit abgelegt und mit , verschlagwortet. Setze ein Lesezeichen auf den Permalink.

Schreibe einen Kommentar

Deine E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind mit * markiert

Hinweis: Bitte beachtet die Regeln zum Kommentieren im Blog (Erstkommentare und Verlinktes landet in der Moderation, gebe ich alle paar Stunden frei, SEO-Posts/SPAM lösche ich rigoros). Kommentare abseits des Themas bitte unter Diskussion.

Du findest den Blog gut, hast aber Werbung geblockt? Du kannst diesen Blog auch durch eine Spende unterstützen.