Security through obscurity is slecht voor uw business

In de security-wereld was er vorige week heel wat te doen rond de inbraak bij RSA. Het blijft onduidelijk wat er precies ontvreemd is, maar de kans is groot dat het geheime algoritme van de SecurID tokens in handen is gevallen van cybercriminelen.

Het algoritme is natuurlijk maar één onderdeel van de token. Er is immers nog een seed (symmetrische sleutel) en een pincode nodig om het One-Time-password te kunnen berekenen. Die seed is specifiek gebonden aan de token en wordt bijgehouden in een databank. Er is speculatie dat de seed misschien zou kunnen afgeleid worden van het device-number dat achteraan op de token staat. Indien men in slaagt om ook seeds te stelen of af te leiden komt men al snel in een situatie waar aanvallen op bronnen die beveiligd zijn met securID realistisch worden.

Er zijn ook geruchten dat het algoritme een back-door zou bezitten voor de amerikaanse overheid. Momenteel blijft het allemaal wilde speculatie, ook omdat RSA maar heel beperkt communiceert over het incident.

Het belang van deze inbraak moet niet overschat worden maar toont aan dat steunen op geheime algoritmes niet zo een goed idee is. Gesteld dat het algoritme van de securID tokens publiek wordt dan kan de hele 'black hat'-wereld op zoek gaan naar mogelijke zwakheden.

Concurrenten van RSA laten alleszins niet na om op klanten van RSA te jagen...

Leave a Reply

Your email address will not be published.