RSA Security

Auch der jüngste Entwurf des TLS-1.3-Protokolls führt zu Verbindungsabbrüchen. Google nennt jetzt einige Schuldige, darunter ein Gerät von Cisco, ein Virenscanner - und eine Spur zur NSA-Hintertüre Dual EC in der RSA-BSAFE-Bibliothek.
Von Hanno Böck

Fotos im Jpeg-Format werden beim Hochladen auf manche Webserver nur unzureichend geprüft. Darüber lässt sich Schadcode einschleusen und so unter Umständen ein gesamtes Netzwerk infiltrieren.

Def Con 22 Keren Elazari sieht die Hackercommunity in der Verantwortung, für positive Veränderungen zu sorgen und das Internet sicherer zu machen. Auf Regierungen und multinationale Konzerne könne man sich dabei nicht verlassen.

Verizon ist neben dem Betrieb der deutschen Regierungsnetze IVBV/BVN auch für die Wartung der RSA-Token-Authentifizierung im Bundesarbeitsministerium zuständig. Der Regierungsauftrag wurde wegen der Beziehungen Verizons zur NSA gekündigt.

Schwächen im Zufallsgenerator Dual EC DRBG lassen sich praktisch ausnutzen, um TLS-Verbindungen anzugreifen. Eine TLS-Erweiterung, die nie standardisiert wurde, erleichtert die Attacke enorm. Schon länger wird vermutet, dass Dual EC eine Hintertür der NSA enthält.

Der Chef des Sicherheitsunternehmens RSA Security, Art Coviello, hat die Zusammenarbeit mit der NSA bestätigt und gleichzeitig verteidigt. RSA Security sei nicht die einzige Firma, die mit dem US-Geheimdienst zusammenarbeite.

Morgan Marquis-Boire enttarnt Staatstrojaner, mit denen Regimekritiker im Mittleren Osten verfolgt werden. Die Methoden der NSA findet der Google-Ingenieur "verstörend".

30C3 2013 war kein gutes Jahr für die Verschlüsselung. Auch jenseits des NSA-Skandals gab es etliche Schwachstellen, die zwar bereits bekannt waren, 2013 aber akut wurden.

Das Sicherheitsunternehmen RSA Security hat dementiert, in einem geheimen Vertrag mit der NSA dafür zu sorgen, dass Verschlüsselung mit Hintertüren in ihren Produkten eingesetzt wird.

10 Millionen US-Dollar zahlte die NSA an das Sicherheitsunternehmen RSA Security, um Dual_EC_DRBG in seiner BSafe-Bibliothek als Standard einzusetzen. Bereits im September 2013 hatte RSA davor gewarnt, die Bibliothek zu nutzen.

Der umstrittene Zufallsgenerator Dual_EC_DRBG wurde von der BSafe-Bibliothek als Standardeinstellung genutzt. Jetzt warnt deren Hersteller RSA Security davor.

Durch einen ausgeklügelten Angriff ist ein Angreifer an Daten der Firma RSA Security gekommen, die das SecurID-System entwickelt hat. Das Problem lag bei einem Mitarbeiter, der per Social Engineering dazu gebracht wurde, ein Excel-Dokument samt Zero-Day-Exploit zu öffnen.

Nach Verwirrung um die Frage, wem das Zertifikat "RSA Security 1024 V3" gehört, hat Mozilla entschieden, es aus der Liste vertrauenswürdiger Root-Zertifikate für seine Software zu entfernen.

US-Heimatschutzminister Michael Chertoff hat auf der RSA Conference in San Francisco vor den Gefahren aus dem Internet gewarnt. Er verglich die Bedrohung aus dem Cyberspace mit den Terroranschlägen vom 11. September 2001. Die von RSA Security ausgerichtete Konferenz ist die größte über IT-Sicherheit.

Mit dem "Symantec Phish Report Network" wurde ein globales Netzwerk gegen Phishing-Angriffe ins Leben gerufen. Symantec will dazu mit Partnern zusammenarbeiten, um Daten zu sammeln und diese Erkenntnisse anderen Beteiligten zur Verfügung zu stellen. Damit soll der Kampf gegen Phishing-Angriffe effizienter werden.

RSA Security hat das US-amerikanische Unternehmen PassMark Security übernommen. Das Unternehmen entwickelt softwarebasierte Authentifikationsmechanismen beispielsweise für Onlinebanking-Anwendungen.

Die Standardisierungsorganisation OASIS hat den Standard WS-Security in der Version 1.1 verabschiedet. Die Sicherheitsspezifikation für Web Services soll es Organisationen erlauben, sichere und weitgehend interoperable Web-Service-Applikationen zu entwickeln.

Das Sicherheitsunternehmen RSA Security will das in New York beheimatete Unternehmen Cyota aufkaufen. Die Hauptprodukte des Übernahmekandidaten sind Online-Sicherheits- und Anti-Phishing-Lösungen, die vornehmlich an Finanzinstitutionen weltweit verkauft werden.

Forscher der Universität Bonn und des Centrum voor Wiskunde en Informatica (CWI) aus den Niederlanden haben mit Rechnerunterstützung durch das Bundesamt für Sicherheit in der Informationstechnik (BSI) einen neuen Weltrekord im Faktorisieren aufgestellt: die Zerlegung der Zahl RSA200.

RSA Security stellt eine standardbasierte DRM-Lösung für mobile Endgeräte wie Handys vor. Dazu gehört auch die Software BSafe, die Gerätehersteller bei der Entwicklung von "vertrauenswürdigen" Produkten unterstützen soll.

Mit dem Dienst "AOL PassCode" können sich AOL-Kunden ab sofort über die Zwei-Faktor-Authentifikationslösung SecurID von RSA Security anmelden, was den Anmeldevorgang nun besser vor Missbrauch schützen soll. Für eine Anmeldung wird ein alle 60 Sekunden neu generiertes Kennwort benötigt, so dass das Ausspähen der Anmeldedaten für Angreifer keinen Nutzen mehr bringen soll.

Das Sicherheits-Unternehmen RSA Security will auf der CeBIT 2004 den Prototypen eines "RSA Blocker-Tags" präsentieren. Dieses von den RSA Laboratories entwickelte Gerät soll Verbrauchern den Schutz ihrer Privatsphäre bei der Nutzung sämtlicher Vorteile der Radio-Frequency-Identification-(RFID-)Technologie ermöglichen.

HP hat zwei neue Business-Notebooks der nc6000- und nc8000-Serie angekündigt, die - ausgestattet mit einer Embedded-Sicherheitslösung von Infineon - "Trusted Computing" unterstützen. Infineons "ProtectTools Embedded Security" ist dabei als Option integriert und entspricht der TCG-Spezifikation 1.1 b (Trusted Computing Group, vormals TCPA).

RSA Security hat ein neues Verschlüsselungsverfahren vorgestellt. Die neu entwickelte Lösung Nightingale (dt.: Nachtigall), die in den RSA Laboratories entwickelt wurde, basiert auf der Technologie des "Secret-Splitting" und soll alle Arten von sensiblen Informationen sowohl vor internen als auch vor externen Bedrohungen schützen. Unter die Daten mit besonders hoch einzustufenden Schutzanforderungen fallen beispielsweise Patienten- oder Finanzdaten, Kreditkarteninformationen, kryptografische Schlüssel oder andere wichtige Daten.

RSA Security führt mit RSA SecurID 6100 USB Token ein weiteres Authentifikationsprodukt ein. Der kleine USB-Stecker vereint eine Zwei-Faktor-Authentifizierung mit einer Smartcard-Lösung und ermöglicht so eine Identifikation des Anwenders. Die USB-Token-Lösung unterscheidet sich von einer traditionellen Smartcard-Lösungen: Der USB-Token von RSA Security benötigt kein Smartcard-Lesegerät und wird damit für Unternehmen kostengünstiger und für den Anwender benutzerfreundlicher.

Die eSeSIX Computer GmbH will auf der CeBIT 2003 einen Linux-basierten Thin Client vorstellen, der das RDP-5.1-Protokoll unterstützt. Damit soll das Gerät der ThinTune-Familie alle Features des neuen Windows .NET Server 2003, wie beispielsweise True Colour, serielle Schnittstellen am Terminal oder Soundausgabe unterstützen.

Seit 3. Dezember 2002 widmet sich das Projekt Distributed.net dem Knacken eines RC5-72-Schlüssels. Im Juli schaffte man es mit der geballten, verteilten Rechenleistung aller beteiligten Internet-Nutzer bereits, einen 64 Bit langen RC5-Schlüssel (RC5-64) zu knacken, auch wenn es 1.757 Tage gedauert hat.

Die von Sun Microsystems initiierte Liberty Alliance hat jetzt die Version 1.0 ihrer Spezifikation für eine offene, verteilte Netzwerkidentifikation vorgelegt. Das vor einem knappen Jahr als Gegenstück zu Microsoft Passport ins Leben gerufene Projekt will mit Liberty Version 1.0 ein interoperables System schaffen, das es Nutzern erlaubt, mit einem Konto Zugang zu den Diensten mehrerer Anbieter zu erlangen.

Das schwedische Unternehmen TFS Technology, ein aus der TenFour Organisation ausgegliederter Software-Entwickler von E-Mail-Sicherheits- und Connectivity-Lösungen, hat mit RSA Security einen Vertrag über die Akquisition von einigen Ressourcen und Technologien des Unternehmens abgeschlossen.

Der Sicherheitslösungsentwickler RSA Security hat die Finanzzahlen für das erste Quartal des Jahres 2002 veröffentlicht. Demnach hat das Unternehmen in diesem Zeitraum Einnahmen in Höhe von 55,5 Millionen US-Dollar verzeichnet, verglichen mit 76,3 Millionen US-Dollar im ersten Quartal des Jahres 2001.

RSA Security und Hifn haben sich der als unsicher geltenden WEP-(Wired-Equivalent-Privacy-)Verschlüsselung der immer mehr Verbreitung findenden Datenfunk-Hardware nach IEEE-802.11b-Standard (WLAN, WiFi) angenommen und gravierende Sicherheitslücken geschlossen. WEP hat bei den einzelnen Paketen - vereinfacht gesagt - zu ähnliche Schlüssel, was lauschenden Hackern die Möglichkeit gibt, den Shared Key zu ermitteln und die Pakete zu entschlüsseln.

Wie Palm auf der Comdex 2001 in Las Vegas mitteilte, wird Palm künftig mit RSA Security zusammenarbeiten, um die Sicherheit von PalmOS zu erhöhen. Gerade Firmenkunden will Palm damit ansprechen.

Der Sicherheitsspezialist RSA Security hat die Finanzzahlen für das dritte Quartal 2001 veröffentlicht. Das Unternehmen hat in diesem Zeitraum Einnahmen in Höhe von 62,2 Millionen US-Dollar verzeichnet, verglichen mit 72,0 Millionen US-Dollar im dritten Quartal des Jahres 2000.

RSA Security hat den Sicherheitsspezialisten Securant Technologies aufgekauft, der selbst Entwickler und Hersteller einer Autorisierungslösung ist. Der Kaufpreis beläuft sich auf 136,5 Millionen US-Dollar. Der Abschluss der Übernahme soll noch im August 2001 vollzogen sein, ist aber noch von der Zustimmung der beteiligten Wettbewerbsbehörden abhängig.

Die Firma globalremote.com bietet eine Technologie an, die den weltweiten Fernzugriff auf sämtliche Dateien des heimischen PCs ermöglichen soll, ohne dass dieser ständig online sein muss. Globalremote.com bietet jetzt zudem ein mehrstufiges Sicherheitsverfahren.

Der RSA-Public-Key-Encryption-Algorithmus wird jetzt zum Allgemeingut und kann von jedem verwendet werden, um eigene Produkte auf dessen Basis zu entwickeln.

RSA Security und das IEEE (Institute of Electrical and Electronics Engineers) wollen gemeinsam einen Standard für Public-Key-Kryptografie entwickeln, der in einem umfassenden Reference Guide veröffentlicht werden soll, der jedem offen steht, der RSA-Algorithmen in seinen Programmen einsetzen will.