Interview zum Thema RSA/Lockheed Martin/SecurID vom 31.5.2011

Wonach sieht es für Sie aus: Wurde der Angriff auf RSA gezielt geplant, um im zweiten Schritt bei Lockheed rumzustöbern?

Das kann man von außen nicht sagen.

Genauso naheliegend wäre, dass jemand bei RSA einbricht und die gefundenen Daten dann meistbietend verkauft, und der höchste Bieter ist dann eben jemand, der an Lockheed Martin interessiert ist.

Oder dass jemand bei RSA einbricht und dann selber überlegt, welcher der bekannten Kunden von RSA wohl die wertvollsten Daten hat.

Oder vielleicht brach auch schon jemand bei anderen SecurID-Kunden ein und es hat bloß niemand bemerkt.

Das Hauptindiz gegen die Theorie, dass jemand bei RSA eindringt, um dann bei Lockheed Martin einbrechen zu können, ist dass dazwischen eine Menge Zeit lag. Üblicherweise haben große Firmen eine gewisse Trägheit. Nachdem die wissen, dass ihr SecurID unsicher ist, brauchen sie ein paar Wochen, bis sie die Gegenmaßnahmen umgesetzt haben. Ein Angreifer, der bei RSA eindringt, um bei Lockheed Martin einzudringen, der würde sich keine drei Monate Zeit lassen dazwischen.

Das ist aber nur ein Indiz, denn letztlich müssen wir ja bezüglich des Angriffs bei Lockheed Martin deren Aussagen vertrauen. Der Angriff kann auch früher gewesen sein, ganz anders abgelaufen sein, oder vielleicht gab es auch gar keinen Angriff -- von außen nachprüfbar ist das alles nicht.

Wie lange im voraus muss man solche Angriffe planen? Wie genau greift man an?

Das hängt davon ab, wer den Angriff durchführt. Üblicherweise ist bei Internetangriffen die Wahrscheinlichkeit für einen erfolgreichen Angriff deutlich unter 100%, so dass Angreifer nicht gezielt eine Firma angreifen, sondern hunderte, und die Hoffnung ist dann, vielleicht bei einigen davon Erfolg zu haben.

Gezielte Angriffe auf spezifische Firmen sind eher rar, weil sich "normale" Angreifer gar nicht ausreichend detaillierte Fakten beschaffen können, um durch gute Vorbereitung die Erfolgswahrscheinlichkeit signifikant zu erhöhen. Für einen Angriff wie beim Stuxnet-Wurm müsste man z.B. "zum Üben" die als Ziel ausgewählte Industrieanlage einmal nachgebaut haben, mit exakt den gleichen Software-Versionsständen überall. Die kennt man aber nicht. Das sind auch keine Informationen, die man mal eben googeln kann.

Wenn man die Ressourcen eines Geheimdienstes zur Verfügung hat und an solche Daten herankommen kann, dann braucht die Vorbereitung eines solchen Angriffs ab Vorhandensein der Daten immer noch Wochen bis Monate, je nach dem ob man die einzelnen Teile dazukauft oder selber entwickelt.

Wenn man aber einen Angriff auf RSA plant, um dann damit bei Lockheed Martin einzudringen, dann würde man die Angriffe zeitlich so einrichten, dass dazwischen zu wenig Zeit liegt, als dass Lockheed Martin Gegenmaßnahmen eingeleitet haben könnte. Größenordnung: 24 Stunden.

Wie ich hörte, benötigt man für die Zuordnung der SecurID viel Insiderwissen. Würden Sie vermuten, dass es einen Maulwurf gab?

Nein. Das kann man natürlich auch nicht ausschließen, aber wenn man einen Maulwurf bei RSA hätte, dann hätte man den Angriff (auf RSA) nie so auffällig machen müssen, dass RSA das überhaupt mitkriegt.

Medienberichten zufolge haben die Angreifer bei RSA den Quellcode für den SecurID-Algorithmus entwendet. Der Teil, den man im Quellcode sehen kann, nämlich wie die Tokens intern funktionieren, der wurde aber schon Ende 2000 durch Reverse Engineerung erforscht und im Internet publiziert, und es gibt sogar wissenschaftliche Papers über mögliche Angriffe auf das Verfahren.

SecurID bezieht die Sicherheit nicht (nur) aus dem verwendeten Verfahren, sondern es gibt pro Token einen geheimen Schlüssel, den nur das Token und der SecurID-Server kennen. Diesen braucht man für einen Angriff auf eine SecurID-Installation wie Lockheed Martin via SecurID. Der SecurID-Server steht aber bei Lockheed Martin im Rechenzentrum. RSA hat die Schlüssel von Lockheed Martin nicht, d.h. man kann ihn auch nicht bei einem Einbruch bei RSA kopieren.

Wenn also die bisher bekannten Annahmen über SecurID stimmen, hat ein Angreifer keinen Vorteil bei einem Angriff auf Lockheed Martin durch einen vorherigen Einbruch bei RSA. Der wäre nur da, wenn bei dem Einbruch eine Hintertür oder Schwachstelle in SecurID gefunden worden wäre, und dafür gibt es bislang keine Anzeichen.

Die einzige andere Möglichkeit ist, dass RSA die geheimen Schlüssel ihrer Kunden aufhebt, nachdem sie sie beim Kauf den Kunden aushändigt, und dass bei dem Einbruch nicht (nur) der Quellcode gestohlen wurde, sondern diese Schlüssel. Das wäre ein Totalschaden für RSA und ihre Kunden. RSA hat in der Email-Mitteilung an ihre Kunden wegen des Angriffs allerdings eine Formulierung gewählt, die man als Eingeständnis deuten könnte, dass genau das geschehen ist.

Mit diesen Seeds könnte man jedes Token nachbauen. Zum Anmelden als ein bestimmter Anwender braucht man aber auch noch den Benutzernamen zu dem Token und die PIN des Benutzers. Man könnte sich also nicht sofort direkt als jeder Benutzer bei einem beliebigen SecurID-Kunden anmelden, aber Usernamen und PINs kann man raten oder durchprobieren. Genau um das zu verhindern setzen Unternehmen wie Lockheed Martin ja SecurID überhaupt ein.

Wem trauen Sie das zu?

Ich bin mir gar nicht sicher, dass überhaupt irgendetwas bei Lockheed Martin passiert ist. Halbwegs gesichert ist im Moment nur, dass die kurzfristig ihren VPN-Zugang abgeschaltet und danach alle Passwörter neu vergeben und die Tokens erneuern haben.

Das sind aber sehr generische Aktionen, die man machen würde, wenn man aus irgendeinem Grund nervös bezüglich der Sicherheit ist, also z.B. auch, wenn man sich im Streit von einem wichtigen Technik-Mitarbeiter getrennt hat und Sabotage-Aktionen befürchten muss.

Lockheed Martin ist immerhin einer der größten Rüstungslieferanten des Pentagon, aus deren Sicht ist es sinnvoll, lieber zuviel Aktionismus zu zeigen als dem Pentagon gegenüber Zweifel aufkommen zu lassen, ob man seine Security im Griff hat. Und "wir haben einen Cyberangriff professionell abgewehrt" macht sicher mehr Eindruck als "wir haben diesen Admin gefeuert und haben kein gutes Bauchgefühl".

Wenn man wirklich von dem Szenario ausgeht, dass jemand bei RSA einbricht, um dann bei Lockheed Düsenjäger-Baupläne zu stehlen, dann kann man trotzdem keine Aussage über die Angreifer treffen. Es könnten Amateure sein, denn sie wurden ja in beiden Fällen entdeckt und bei Lockheed sogar abgewehrt. Es könnten auch Profis sein, die Pech hatten. Über das konkrete Vorgehen der Angreifer sind zu wenig Details bekannt, um auch nur spekulieren zu können.

Die Aussage von RSA, dass der Angriff gegen sie "extremely sophisticated" gewesen sei, darf man jedenfalls nicht zu ernst nehmen. RSA kann ja schlecht der Presse sagen, dass sie mit einem simplen Trick überlistet wurden. Die sind schließlich eine Security-Firma, da ist kein Adjektiv zu pompös, um der Presse gegenüber etwaige Angreifer zu beschreiben.