Tweets by @buherablog
profile for buherator at IT Security Stack Exchange, Q&A for IT security professionals

A BitBetyár Blog

Túljártál a nagyokosok eszén? Küldd be a mutatványodat! (e-mail a buherator gmailkomra jöhet)

Full-Disclosure / Névjegy / Coming out


Promó

H.A.C.K.

Címkék

0day (110) adobe (87) adobe reader (21) anonymous (26) apple (60) az olvasó ír (49) blackhat (20) botnet (22) bug (200) buherablog (44) buhera sörözés (39) bukta (49) deface (38) dns (22) dos (29) esemény (82) facebook (26) firefox (64) flash (33) gondolat (31) google (59) google chrome (36) hacktivity (37) hírek (117) incidens (224) internet explorer (88) iphone (35) java (50) jog (22) kína (21) kriptográfia (68) kultúra (21) linux (24) malware (43) microsoft (142) móka (48) mozilla (23) office (26) oracle (40) os x (43) patch (197) php (20) politika (31) privacy (58) programozás (22) safari (34) sql injection (62) windows (85) xss (77) Címkefelhő

Licensz

Creative Commons Licenc

Cserélik a SecurID tokeneket

2011.06.07. 14:41 | buherator | 5 komment

Laza három hónappal az első bejelentés után az RSA elismerte, hogy a tőle megszerzett, SecurID technológiával kapcsolatos adatok veszélyt jelenthetnek az autentikációs megoldást használó rendszerek biztonságára, valamint hogy az incidens kapcsolatban áll a Lockheed Martinnál történtekkel.

A vállalat egyúttal felajánlotta "koncentrált felhasználói bázissal" rendelkező vásárlói számára a tokenek cseréjét, azokon a helyeken pedig, ahol ez nehézkes lenne (kapaszkodjatok!) "kockázatalapú autentikációs stratégiák" kidolgozását ígérik.

Maga a nyílt levél egyébként megérne egy részletes elemzést: kezdve onnan, hogy hogyan próbál összemosni a világ egyik vezető biztonsági cége egy teljes hadiipart érintő támadást a Sony szerencsétlenkedésével, a Nintendo botlásával, vagy a Google felhasználóit ért adathalász támadásokkal, egészen az utolsó "we will, we will, we will ..." bekezdésig. De ez már egy másik blogra tartozik.

Címkék: rsa securid

Kommentek:

A hozzászólások a vonatkozó jogszabályok  értelmében felhasználói tartalomnak minősülnek, értük a szolgáltatás technikai  üzemeltetője semmilyen felelősséget nem vállal, azokat nem ellenőrzi. Kifogás esetén forduljon a blog szerkesztőjéhez. Részletek a  Felhasználási feltételekben és az adatvédelmi tájékoztatóban.

SzZ 2011.06.07. 16:30:51

Azt várná az ember egy IT biztonsági cégtől, hogy azonnal kezdje meg az ID-k cseréjét, amint az _esélye_ felmerül annak, hogy visszaélések lehetnek. Nem pedig három hónap lapítás, és egy komoly, megvalósult támadás után kezdjen kapkodni...

synapse · http://www.synsecblog.com 2011.06.08. 09:51:36

SzZ: A ceg shareholderei is nyilvan enekelve-tapsolva vesztik el a befektetett penzuket egy ilyen miatt es semmi esetre sem probalnak meg lapitani... A vilag nem igy mukodik.

kz71 2011.06.08. 10:32:10

egy ilyen biztonsági cégnél ISO 9001 van, ami leírja, hogy miként kell felterjeszteni a javaslatokat, milyen bizottság vitatja meg a javaslatok közül az optimálisat (költséghatékony megoldás), majd a kiválasztás után egyeztetni kell a gyártóval, hogy mennyi idő alatt szállít hányezer tokent, és ezt az egészet aláírja kb. 42 ember (RSA kulccsal a tokenes auth után 8-)), és akkor mehet...és ez sztem jó, és gyors eljárás...államigazgatásban hosszabb lenne ;-)

TrueY · http://qltura.blog.hu 2011.06.08. 14:34:48

@SzZ: @synapse: Nehéz ügy. Egyrész baromi drága lehet a csere, plusz nem biztos, hogy pár tízezer ID-t pikk-pakk össze lehet szedni. Pláne, ha mondjuk fotós a kártya.

Szóval idő kell a felkészüléshez. Ezért érdemes azoknak lecserélni először, akinél kritikus.

Pas · http://pasthelod.hell-and-heaven.org 2011.06.11. 01:03:14

azert addig meg lehet elmenni szabadságra. mi a jobb, ha jovore meg a balfasz eszakkoreai hecskerek is az uj F-9000-rel repkednek, vagy kicsit csuszik az amugy is korpo réten sütkérező csigalassan keszulő projekt?

mondjuk azt nem tudni, hogy a szinfalak mogott ertesitette-e a "partnereit" a RSA Inc. ha igen, akkor legalabb azoknak megvolt a lehetoseguk eldonteni, hogy mennyit is er a dobozos biztonsaguk :)