Слухи о взломе Lockheed Martin

[ex_ivlad]

Lockheed Martin - крупнейший американский производитель вооружений. В компании созданы самолеты F-22 и F-35, компоненты американской системы ПРО, разведовательные спутники GeoEye и т.п.

В пяницу стало известно об проникновении злоумышленника (или злоумышленников) через VPN-системы Lockheed Martin (еще и NY Times отписался). Компания использует RSA SecurID для аутентификации в VPN и многие связывают эту атаку с недавним взломом компании RSA и похищением алгоритмов шифрования и, все-таки, видимо, инициализационных ключей SecurID.

Предположительный сценарий атаки таков: получив инициализационные векторы ключей SecurID и зная алгоритм их генерации, атакующие начали подбирать PIN. Поскольку основной защитой от подбора PIN является режим "Next token", когда для успешной аутентификации необходимо ввести два правильных токен кода подряд, для атакующего, это не было препятствием - ведь он мог генерировать любой токен-код.

Этот случай наводит меня вот на какие мысли:

• надо задумываться над применимостью одноразовых паролей, они вовсе не являются панацеей;
• надо защищать инициализационные векторы: они слишком секретные, они важнее паролей, потому, что не меняются, на них не распространяется парольная политика;
• как следствие - не надо иметь дела с вендором, который хранит ваши секреты, не сообщая об этом вам: лучше - иметь возможность сами прошивать инициализационные векторы (кажется, так все еще может делать eToken NG-OTP);
• event-based OTP в этом смысле безопаснее, чем time-based OTP, поскольку счетчик событий является дополнительным секретом, который злоумышленнику надо восстановить: а проблемы синхронизации осложняют сокрытие атаки;
• не надо использовать закрытые схемы OTP, там возникают системные риски из-за закрытости, объем этих рисков оценить нельзя;
• независимая сертификация продуктов и процессов и области безопасности имеет смысл: впрочем, как текущая сертификация могла бы выявить клонирование инициализационных векторов, я не представляю.

И, к слову, нет оснований думать, что USB-смарткарты чем-то лучше. Возможно, даже хуже.

К слову, первым об этом в пятницу сообщил Reuters: Hackers breached U.S. defense contractors, но, рынки уже были закрыты, так что реакцию инвесторов на это сообщение мы не узнали. Посмотрим, будет ли меняться капитализация компаний сегодня. У меня есть версия, что не будет: EMC растет, LM падает, но тренд не изменился. У Microsoft, когда у них части исходников украли, не изменился.