Támadás érte az RSA-t
A múlt héten az RSA-tól a SecurID-val kapcsolatos információkat loptak egy internetes támadás során. Még nem tudni, milyen adatok kerültek illetéktelen kezekbe, de a közeljövőben valószínűleg meg fognak szaporodni az incidenssel kapcsolatos adathalász-támadások,
A múlt héten rendkívül kifinomult támadás érte az EMC tulajdonában levő RSA biztonsági cég informatikai rendszerét, a támadók a SecurID kétfaktoros azonosítással kapcsolatos információkhoz jutottak hozzá - ismerte be egy nyílt levélben Art Coviello, az RSA vezetője.
SecurID
A világszerte népszerű RSA SecurID azonosítás egy hardveres vagy szoftveres tokenre támaszkodik. A token egy vásárláskor betáplált, általában 128 bites kulcs alapján 60 másodpercenként új kódot generál, a felhasználónak ezzel a kóddal kell megerősítenie hozzáférési azonosítóját és jelszavát (PIN-kódját). A SecurID segítségével biztosítható, hogy a fiókhoz akkor se tudjon hozzáférni senki, ha a felhasználói nevet és jelszót megszerzi, mivel a belépéshez szükség van a token által generált, az adott pillanatban érvényes kódra is.
"Bár biztosak vagyunk benne, hogy a kinyert információ birtokában nem lehet egyetlen SecurID ügyfél ellen sem sikeres direkt támadást indítani, egy nagyobb támadás során felhasználható a kétfaktoros autentikáció hatékonyságának csökkentésére. Aktívan kommunikálunk az RSA-ügyfelekkel és elérhetővé tesszük számukra azokat az intézkedéseket, amelyekkel SecurID implementációjuk biztonságát növelhetik" - áll a levélben.
RSA SecuriD tokenek
Érdemes phishing-támadásokra készülni
Egyelőre nem tudni, a támadás során milyen információk kerültek illetéktelen kezekbe és az RSA sem oszt meg semmilyen részletet a nagyközönséggel. Elképzelhető, hogy a támadók még ki nem adott kulcsokhoz és tokenek sorozatszámaihoz jutottak hozzá, de ezek önmagukban nem használhatók, egy sikeres támadáshoz szükség van a felhasználói azonosítókra is - igaz, ezeket más módszerekkel, például keyloggerrel vagy phishing-támadással megszerezhetik.
Mivel az RSA-t ért támadás miatt az ügyfelek körében valószínűleg bizonytalanság érzékelhető, egy, az incidenssel összefüggő adathalász levéllel most könnyen sikert lehetne érni. Ez a veszély egyébként attól függetlenül fennáll, hogy az RSA-tól milyen információt szereztek a betörés során, valószínűleg a közeljövőben meg fognak szaporodni azok az adathalász e-mailek, amelyek az RSA-t és támadásra alapozva próbálnak meg hozzáférési információkat szerezni - érdemes lesz tehát vigyázni.
CI/CD-vel folytatódik az AWS hazai online meetup-sorozata! A sorozat december 12-i, ötödik állomásán bemutatjuk az AWS CodeCatalyst platformot, és a nyílt forráskódú Daggert is.
Ha a támadók kezébe kerültek olyan adatok, amelyek a tokeneket és kulcsokat összekapcsolják a vásárlókkal, a bűnözők konkrét célzott támadásokat indíthatnak egyes RSA SecurID-t használó cégek, szervezetek rendszerei ellen, mielőtt azok reagálni tudnának a fenyegetésre és új tokeneket tudnának kiosztani a felhasználók között.
A legrosszabb eshetőség
A legrosszabb eshetőség, hogy a támadók megszerezték a SecurID kulcsok generálását végző szoftver forráskódját vagy a kulcsgenerálási metódus gyengeségére bukkantak és az információk birtokában akár saját kulcsok generálásába foghatnak vagy hamis tokeneket dobhatnak a (fekete)piacra. Ebben az esetben az RSA-nak az összes, eddig kiadott tokenjét vissza kellene vonnia és a kulcsgenerálási metódus módosítása után új tokeneket kellene kiadnia.
Az RSA weboldalán olvasható információk szerint SecurID tokeneket világszerte több mint 25 ezer szervezet használ, az eddig kiadott tokenek száma több százmillió lehet.