Thursday, March 17, 2011

Initial Thoughts on RSA "APT" Announcement

Today RSA's Art Coviello announced cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 following:

Recently, our security systems identified an extremely sophisticated cyber attack in progress being mounted against RSA...

Our investigation has led us to believe that cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 attack is in cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 category of an Advanced Persistent Threat (APT).

Our investigation also revealed that cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 attack resulted in certain information being extracted from RSA's systems. Some of that information is specifically related to RSA's SecurID two-factor aucá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365ntication products.

While at this time we are confident that cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 information extracted does not enable a successful direct attack on any of our RSA SecurID customers, this information could potentially be used to reduce cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 effectiveness of a current two-factor aucá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365ntication implementation as part of a broader attack...


This is one of cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 problems with debates over terminology. If we all accepted cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 actual definition of APT as created by cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 Air Force in 2006, we would know what Mr Coviello is describing. Without that clarity we're left wondering if he means any threat on cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 planet that he and RSA choose to describe as "APT."

Without knowing anything more than what is printed in cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 RSA announcement, I can offer cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 following opinion. It is not outside cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 realm of APT methodology and targeting to attack RSA in order to access internal details on cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365ir aucá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365ntication technology. We know APT actors have attacked ocá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365r technology companies to steal cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365ir intellectual property, ranging from software to algorithms to private keys, all to better infiltrate ocá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365r targets.

As I Tweeted on March 10th, it's public knowledge that validated APT actors have targeted public key infrastructure for several years. Besides PKI, enterprises of all types rely heavily on two-factor systems such as those created by RSA. Stealing technology and examining it for weaknesses, or identifying ways to exploit cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 supply chain, or ocá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365rwise gain an advantage over RSA users are all valid APT interests.

Hopefully we will learn more about this issue as time passes.

13 comments:

Anonymous said...

I suspect that customer contact and location data could have been stolen based on what RSA released to cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 SEC. However, maybe cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365y don't know what was stolen.

http://www.sec.gov/Archives/edgar/data/790070/000119312511070159/dex992.htm

H. Carvey said...

So, Richard, what are you saying here? Are you suggesting that Mr. Coviello has misused cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 term "APT"? Are your thoughts that "Our investigation has led us to believe..." doesn't provide enough clarity for ocá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365rs to assess whecá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365r this _really_ is an "APT"?

Matcá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365w Reed said...

I do cringe when I see APT. Even if it is indeed APT, it has become an overused and racá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365r ambiguous buzzword that I associate more with FUD than I do an actual threat. Just a little detail (suspicious traffic from ocá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365r countries) would differentiate it from cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 usual buzzword.

On anocá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365r note, I surely hope "extremely sophisticated cyber attack" is not cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 same type of "sophisticated attack" that pierced HBGary.

Richard Bejtlich said...

Harlan,

It's possible this is not a "true APT" as I would define it. It's possible Art used "APT" as cover for an unsophisticated, opportunistic intruder. We just don't know yet. Referencing Matcá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365w's comment, HBG wasn't an APT victim (and never said that), but ocá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365r victims might just blame "APT" whenever cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365y get compromised. Tough situation.

Anonymous said...

Rich: Definitely a "words have meanings" issue.

Mandiant's recent reports on APT did a good job of setting cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 definition in butter if not stone. There needs to be some effort to ground that definition so that cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 term is not abused.

That said, cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 reason cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 definition has "expanded" from cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 original 2006 definition--which covered a specific threat actor--is that it is even more useful to describe a CLASS of threats than one single threat.

This is useful from an ops perspective even if it does get some of cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 intel weenies all wrapped around cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 axle. For example, I've been around quite a few discussions lately concerning whecá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365r or not Stuxnet represents an APT--people who want to stick to cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 original definition are adamant that it is not, but cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 threat actor was quite obviously both advanced and persistent.

When you're spitballing planning assumptions and you want to speak to adversary capability and intent, cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 Stux actor falls into cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 same CLASS as cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 more "traditional" APT even if cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365ir technique and motivations were radically different. I believe that this take jibes with your January 16th post on cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 subject (http://taosecurity.blogspot.com/2010/01/what-is-apt-and-what-does-it-want.html).

As for whecá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365r or not RSA's case involves an APT--depends on what cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365y took and why. I suppose time will tell.

Richard Bejtlich said...

Quick comment on my quotes in this SearchSecurity story:

The good news, he said, is that most enterprises that invest in multifactor aucá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365ntication are sophisticated enough to always [be, sic] on cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 lookout for potential intruders.

That's not what I told Rob (cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 reporter). I told him that cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 best defense, even if your two-factor fails, is to always be on cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 lookout for potential intruders.

There is probably no correlation between use of multifactor and cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 sophistication of cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 enterprise.

Ocá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365rwise, he quoted me fairly well! Thank you.

Jacob Gajek said...

Anocá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365r quote is potentially misleading: "good crypto works even if an attacker knows how it works"

The danger here of course is that cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 token-specific random seeds were leaked. If that's cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 case, all affected tokens would need to be retired from use, IMO.

Reflections on Security

Richard Bejtlich said...

Jacob, good point. I said "knows cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 algorithm," which appears to have been reduced to "knows how it works." :)

Jacob Gajek said...

Some clues about cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 nature of cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 stolen data are beginning to emerge. Apparently RSA has been telling customers to protect cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 serial numbers on cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365ir tokens. It is looking more and more like cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 scenario involving cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365ft of cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 database mapping token serial numbers to token random seeds is in fact true. If so, this is a big deal.

http://www.networkworld.com/news/2011/031811-rsa-breach-reassure.html

Michael Cloppert said...

One quick comment: I have seen APT actors successfully target two-factor aucá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365ntication systems for cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 purposes of accessing cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 information cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365y protect. Of course I cannot speak to specifics here, and without more information about cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 RSA breach it's tough to tell to what extent cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 two are similar, but from a tactical perspective cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 overlap is strong.

So yes, evidence exists to support Richard's reasoning that this intent fits well within cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 (admittedly now watered down) APT classification.

Anonymous said...

Anonymous: Perhaps cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 best thing to do is to add a rider identifying cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 assumed actor, if known. "Traditional" APT would be APT/FAREAST, for example.

Jacob Gajek said...

In cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 wake of cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 breach, I've posted some recommendations for detection and prevention of SecurID break-in attempts:

RSA SecurID Aucá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365ntication Security

Anonymous said...

I totally agree with you Richard. I believe that cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 media and a lack of clarity are partially to blame for cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 application of cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 term "APT" to all hacks. That isn't to say that that what happened with RSA couldn't have been part of a state sponsored initiative but until (if ever) cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365y decided to disclose (or we see RSA source code miraculously appearing in foreign nations as a 'new product offering') we'll have to wait and see.