RSA hackat - hur påverkar det dig?

De flesta som arbetar med IT-säkerhet har förmodligen hört om förra veckans hack av RSA, där inkräktare kom över information om deras SecurID-produkt för flerfaktorautenticering. RSA har gått ut med en varning till alla kunder där ett antal säkerhetsåtgärder rekommenderas. Exempel på åtgärder som varje företag redan borde ha i sin IT-säkerhetspolicy: att hålla systemen uppdaterade, att bevaka loggar från sina olika system (servrar, brandväggar, IDS etc.) och att minska risken för att användaruppgifter läcker.

Än så länge har inte RSA avslöjat exakt vad inkräkrarna kom över och det pågår just nu en livlig debatt och ryktesspridning om detta. Många frågar sig om det skulle kunna vara någon slags "masternyckel" eller del av algoritmen som gör att det går att härleda den kod som syns på en viss SecurID-dosa vid en viss tid.

Om vi gör antaget att det är just det som en inkräktare kan göra, dvs härleda godtycklig engångskod för en dosa, återstår flera andra faktorer i autenticeringen: användarnamn, PIN-kod och lösenord. I alla fall i de system där man inte bara förlitar sig på användarnamn och den kod som syns i dosan. En inkräktare måste således känna till vilken dosa som är tilldelad till en viss användare och vilket användarnamn som denne användare har. Det är information som RSA inte har, den ligger i kundens system.

Om vi också gör antagandet att inkräktaren kommit över information om vilken kund som har en viss SecurID-dosa blir det lite desto mer intressant. Informationen kan delvis komma från RSA som ju vet vilken kund som köpt en viss dosa, men ett intrång hos kunden krävs för att avslöja vilken individ som använder en viss dosa.

Även om det generella hotet mot alla SecurID-användare kan antas vara lågt - även efter RSA:s läckage, skulle det kunna innebära att en inkräktare som är intresserad av ett visst mål och som på annat sätt lyckats komma över användarinformation, kan lägga det klassiska (o)säkerhetspusslet: ett antal sårbarheter som var och en för sig inte är kritiska skapar tillsammans en kritisk sårbarhet.

Oavsett vad inkräktarna har kommit över från RSA visar det än en gång att det inte räcker med bra teknik för att uppnå ett fullgott skydd. Det är inte den tekniska lösningen SecurID i sig som attackerats, utan en organisation som misslyckats med att upprätthålla tillräcklig konfidentialitet och blivit utsatt för informationsstöld.

Vad bör du som SecurID-användare göra idag? Precis samma sak som du förhoppningsvis redan gör och gjort tidigare:

  • Håll dina användares identiteter skyddade
  • Tilldela rättigheter enligt minsta nödvändiga behörighetsnivå
  • Håll dina system uppdaterade, skyddade och bevakade.

Just nu i fallet med SecurID-problematiken är de viktigaste bitarna att inte exponera användarnas användarnamn eller PIN-koder:

  • Kryptera alla inloggningar - även flerfaktorinloggningar
  • Hjälp användarna att välja bra PIN-koder och att dessa skyddas på ett bra sätt.
  • Utbilda och informera användare och helpdesk för att minska risken för sk social engineeringförsök eller phishing som kan exponera information om dina användare eller deras SecurID-dosor.

Om du tillhör en organisation där det är viktigt att ingen utomstående, inte ens din leverantör, känner till något om någon av faktorerna i din flerfaktorautenticering, använder du idag varken RSA SecurID eller någon annan säkerhetsprodukt där tillvekraren har kopior av eller information om dina nycklar.

För de flesta som använder SecurID idag finns ingen anledning till omedelbar panik, men du bör snarast göra en egen riskbedömning: Finns det anledning att tro att en inkräktare har information om din organisation och dina användare som tillsammans med RSA-hacket är kritisk?

Michael Westlund
Säkerhetsarkitekt
Omegapoint AB

0 kommentarer :: RSA hackat - hur påverkar det dig?

Skicka en kommentar