TigerTeam - suomalainen tietoturvablogi

Kun luotetusta tuleekin heikko – tapaus RSA SecurID

Kirjoitti Pietari Sarjakivi 7. kesäkuuta 2011 1 kommentti

Tämän päivän isoja it-uutisia on uusien tietojen saaminen yhdysvaltalaiseen tietoturvayhtiö RSA:han keväällä kohdistuneesta tietomurrosta. Hiljattain julkisuuteen saatiin tietoa myös asevalmistaja Lockheed Martiniin kohdistuneesta tietomurrosta, jossa hyökkääjät käyttivät hyväkseen RSA:lta vuotaneita tietoja SecurID-tunnistautumisratkaisusta.

Nyt tiedetään, että RSA on ryhtynyt vaihtamaan vahvassa tunnistuksessa käytettäviä SecurID-avainlukugeneraattoreita eli ns. tokeneita.

SecurID:n murtaminen tarkoittaa vahvan tunnistautumisen muuttumista heikoksi – käyttäjätunnus-salasana-yhdistelmän kaltaiseksi – tunnistautumismenetelmäksi.

Mitä organisaatio voi nyt tässä tilanteessa tehdä?

  1. SecurID:n tuomaa vahvaa tunnistusta käytetään laajasti VPN-yhteyksien tunnistamistapana. Kun vahvan tunnistuksen tuoma tietoturva häviää, on myös verkkoon pääseminen helpompaa. Yritysten tuleekin miettiä tietoturvallisuutta kehittäessään, mitä voisi tapahtua, jos ulkopuoliset pääsisivät käsiksi yrityksen tietoverkkoon. Riittääkö sisäverkon puolustus? Helpoin tapa pitää yllä sisäverkon tietoturvaa on huolehtia asiamukaisesta päivitysten hallinnasta. Tunkeutumisenestojärjestelmät eivät välttämättä havaitse normaalilta toiminnalta näyttävää hyökkäystä sisäverkossa – tietoturvatapahtumia on seurattava esimerkiksi lokienhallinnan ja hälytysten keinoin.

  2. Tärkeänä työkaluna verkon turvan kartoituksena on verkkotapahtumien seuranta. On tiedettävä mitä organisaatiosi verkossa tapahtuu, jotta voidaan todeta verkon olevan turvassa. RSA SecurID:n osalta parasta, mitä verkon seurannassa voidaan tehdä on tarkkailla poikkeuksia verkon liikenteessä, sekä virheellisiä kirjautumisia, jossa avainlukugeneraattorin koodi on oikein, mutta PIN-koodi on väärä. Myös muiden kuin SecurID-tunnistusten virhetilanteita tulee seurata.

  3. Salasanoihin ja PIN-koodeihin tulee kiinnittää tällaisessa poikkeustilanteessa riittävästi huomiota. Ennen kuin uudet, murtamattomat avainlukugeneraattorit on jaeltu käyttäjille, kriittisiä verkon osia suojaa käytännössä vain käyttäjätunnus ja PIN-koodi. Käyttäjiä tulee ohjeistaa pitämään hyvää huolta salasanoistaan ja heille tulee korostaa, ettei SecurID:een liittyvää PIN-koodia tule missään olosuhteissa kertoa ulkopuolisille. Myös mahdollisista urkintasivuista tulee varoittaa.

Kuten muutkin ohjelmistot myös tietoturvaohjelmistot vanhenevat eikä kalliidenkaan tietoturvaohjelmistojen elinkaari ole ikuinen. Siksi organisaation tietoturvaa onkin lähestyttävä kokonaisvaltaisesti.

Kirjoittaja Pietari Sarjakivi työskentelee tietoturvakonsulttina Nixun Build-yksikössä.

Tagit: siem, tietomurto Delicious Kommentoi (1 kommentti)

1 kommentti

Tilaa tämän blogimerkinnän kommentit RSS-syötteenä
  1. Ilkka Pirttimaa, 10. Kesäkuuta 2011

    Hyvä kirjoitus. Haluaisin tarkentaa, että hyökkäjän on pitänyt nähdä myös fyysisessä avaimessa oleva numerokoodi - muuten hän ei voi tietää, mitä niistä 40 miljoonasta salausavaimesta pitäisi käyttää. Mutta kuten sanottu, hyökkäykset ovat nyt mahdollisia ja ainoa oikea ratkaisu on vaihtaa tokenit.

Kirjoita kommentti