SecurID-tunnistus rikki – mitä tehdä? - TigerTeam

SecurID-tunnistus rikki – mitä tehdä?

Kirjoitti Juha-Matti Laurio 22. maaliskuuta 2011

Viime päivien isoimpia tietoturvauutisia on ollut tietoturvayhtiö RSA:han kohdistunut tietomurto. EMC:n omistama RSA on kertonut avoimessa kirjeessään murrossa vääriin käsiin joutuneiden tietojen voivan potentiaalisesti heikentää yrityksen SecurID-tunnistautumisratkaisun tarjoamaa suojaa.

Mikä miljoonien ja miljoonien käyttäjien käyttämä SecurID sitten on?

SecurID on esim. avaimenperässä mukana kulkeva laite, joka tuottaa minuutin välein vaihtuvan valtuutusavaimen, käytännössä kuusinumeroisen luvun. Kirjauduttaessa vahvaa tunnistautumista vaativiin verkkopalveluihin tarvitaan tyypillisesti käyttäjätunus, PIN-koodi ja ko. laitteesta saatava vaihtuva luku.

SecurID käytössä sadoissa suomalaisyrityksissä

Murron kohteena on spekuloitu olleen mm. tunnistautumisratkaisun lähdekoodi tai tietoja ratkaisua käyttävistä organisaatioista. SecurID on yrityssektorilla vahvassa käyttäjätunnistuksessa ehdoton markkinajohtaja. Myös Suomessa SecurID:tä käyttää satoja organisaatioita työntekijöiden ja kumppanien tunnistamiseen. Kuva esimerkiksi avaimenperässä säilytettävästä ns. SecurID-tokenista ohessa.

Tapauksen tutkinta on kesken ja tällä hetkellä yksityiskohtia tiedetään hyvin vähän. Myös tieto murron ajankohdasta puuttuu - tai sitä ei ole ainakaan annettu julkisuuteen. Hyökkäyksessä käytetty menetelmä on ns. Advanced Persistent Threat (APT). Tällaiset hyökkäykset ovat hyvin huolellisesti suunniteltuja ja niillä pyritään saamaan mahdollisimman yksityiskohtaista tietoa kohteesta mm. social engineering -keinoja apuna käyttäen. Pysyvyys tarkoittaa jopa kuukausia kestävää tiedusteluvaihetta.

Nixun Build-yksikön vetäjä Kim Westerlund kertoo näkemyksiään siitä mitä vaikutuksia tapauksella on ja onko SecurID:lle olemassa vaihtoehtoja:

1. Kuinka vakavana nykyisen tiedon valossa pidät tapausta?

Tietojahan siitä mitä tarkkaan on ollut tietomurron kohteena ei ole tiedossa. Vuodetun tiedon avulla ei ole mahdollista murtautua organisaatioon, mutta saamieni tietojen mukaan yhdistettynä johonkin muuhun tietoon tämä voi olla mahdollista.

2. Onko yrityksillä nyt keinoja kuinka toimia, esim. rajoittaa SecurID:n käyttöä?

Asiaa tulee lähestyä riskienhallinnan näkökulmasta. Monelle organisaatiolle voi olla isompi liiketoimintariski rajoittaa SecurID:n käyttöä kuin hyväksyä sen käyttöön liittyvä riski. Riskienhallinta on aina sen punnitsemista mitä tehtyjen ratkaisujen myötä menetetään.

Riskiä tulee arvioida sen mukaan minkälainen organisaatio on kyseessä. SecurID:hen perustuva pääsy voidaan organisaatiossa rajoittaa esim. vain sähköpostiin ja kalenteriin.

3. Entä jos tapaus osoittautuu vakavammaksi kuin tähän mennessä on tiedossa?

Seuraamme tilannetta jatkuvasti ja olemme päivittäin yhteydessä Suomen RSA:han tilanteen kehittymisestä.