Betörtek a Lockheed Martin IT-rendszerébe
Óriási riadalmat keltett az IT-szakmában, hogy több mint egy hete feltörték a haditechnikai eszközöket tervező és gyártó Lockheed Martin számítógépes rendszerét. Arról egyelőre nincsenek hírek, hogy milyen titkos információk birtokába jutottak a crackerek, a támadás azonban szoros összefüggésben van az RSA márciusi feltörésével.
Meghiúsított egy makacs informatikai támadást a Lockheed Martin - jelentette be a cég. A közlemény szerint a május 21-i incidens során nem került ki semmilyen, az ügyfelekkel, alkalmazottakkal vagy kutatásokkal kapcsolatos információ, a vállalat rendszerei pedig biztonságosak maradtak. Az egy héttel ezelőtti támadás miatt azonban teljesen megszűnt a külső hozzáférés a cég információs rendszereihez, a dolgozókat pedig értesítették, hogy ki kell cserélniük a bejelentkezéshez használt RSA SecurID tokenjeiket.
Nem az IT-biztonság éve
A márciusi, RSA elleni támadást hamar felülírta a médiában a Sony-botrány, a biztonsági szakértők blogjai és a témával foglalkozó weboldalak hamar témát váltottak. Az RSA erre rásegített azzal is, hogy semmilyen információt nem közölt a betörésről, így például máig nem lehet tudni, hogy milyen adatok birtokába jutottak akkor a támadók. A kényelmetlen történet a cég szerencséjére hamar le is került a napirendről, legfeljebb a vállalat által szállított megoldásokat használó cégek biztonságáért felelős szakemberek aggódtak csendesen. A Lockheed Martin például a támadás hírére - biztos ami biztos alapon - második jelszót is kért a távoli bejelentkezéskor, ez azonban nem ugrókódos, így egy egyszerű keylogger ellen ez nem nyújt extra védelmet.
Úgy tűnik, ígéretével ellentétben az RSA egyáltalán nem árulta el partnereinek, hogy a támadók milyen információk birtokába jutottak, így azok nem tudtak semmilyen módon felkészülni egy lehetséges támadásra. Lehetséges persze, hogy a biztonságtechnikai cég maga sem tudta megállapítani az adatszivárgás nagyságrendjét, így a teljes riadó helyett inkább a probléma elbagatellizálása mellett döntött.
Szakértők szerint azonban az RSA-betörés során kiszivárgott adatok között szerepelhetett a belépési kulcsok generálásához szükséges összes adat, így a seed, a sorozatszám és a generálás időpontja is - ez utóbbi a 60 másodpercenként változó kódsor miatt szükséges. A fentiekből bárki előállíthatja a megfelelő számsort, a generáló algoritmus már évek óta közkézen forog. Ahogy korábban már említettük, a kulcs csupán a belépéshez szükséges egyik elem, a másik az azonosító-jelszó páros, így lehetett számítani nagyarányú phishing-támadásokra - ezt akkor a HWSW is megjósolta.
Az emberi láncszem
A kiszivárgott értesülések szerint a Lockheed Martin esetében pontosan ez történt, egy phishing támadás nyomán telepített keylogger segítségével a betörők megkaparintották egyes felhasználók belépéshez használt azonosítóját, amelyhez az RSA-tól megszerzett adatok segítségével sikerült érvényes SecurID kódot is generálni. A Lockheed Martin bejelentése szerint a betörést időben észlelték és meghiúsították, egyelőre nem tudni, hogy ez mennyiben felel meg a valóságnak és mennyiben a cég szakembereinek önáltatása.
A vállalat egyik legnagyobb megrendelője az Egyesült Államok, illetve a hadsereg. Az USA védelmi minisztériuma és a belbiztonsági minisztérium egyaránt felajánlott a segítségét a Lockheed Martinnak, hogy a rendelkezésre álló adatok elemzéséve mihamarabb felderíthessék, mi történt pontosan és megtehessék a szükséges óvintézkedéseket. April Cunningham alezredes, az amerikai hadsereg szóvivője szerint az incidens hatása "minimális" a fegyveres erőkre.
CI/CD-vel folytatódik az AWS hazai online meetup-sorozata! A sorozat december 12-i, ötödik állomásán bemutatjuk az AWS CodeCatalyst platformot, és a nyílt forráskódú Daggert is.
IT-biztonsági berkekben most az a kérdés, hogy pontosan hány kulcshoz nyertek hozzáférést az RSA támadói. Egyes szakértők feltételezései szerint egyetlen, a vállalat megoldásait használó biztonsági rendszer sincs többé védve - a Lockheed Martin-eset kapcsán mindenképp jogos ez a felvetés is. Problémát jelent az is, hogy vállalati biztonsági szabályok szintjén egyelőre minden RSA-felhasználó megbízik a rendszerben, emiatt számos, a Lockheedhez hasonló betörés maradhatott március óta a radar alatt. Az Egyesült Államok több nagy haditechnikai szállítója, például a Raytheon és a Northrop Grumman is használ RSA tokeneket a dolgozók azonosítására és beléptetésére - az esetet természetesen nem kommentálták.
A biztonsági kérdésekre különösen érzékeny RSA-ügyfelek helyzete ennek megfelelően nagyon kényelmetlenné vált. A drága biztonsági infrastruktúra kompromittálódásával ugyanis a belső hálózatok és a támadók között már csak a felhasználói végpontok állnak - vállalati védelmet százezer dolgozóval rendelkező cégnél erre pedig nem lehet alapozni. A SecurID tokenek cseréje a Lockheed Martinnál is csak átmeneti intézkedésnek tűnik, a hosszútávú döntéshez azonban mindenkinek idő kell.