Bruger du RSA's SecurID-tokens? Se hvad hackerangrebet betyder for dig

RSA har fået stjålet oplysninger om login-løsningen SecurID, der bliver brugt af mange virksomheder. Her fortæller sikkerhedsekspert, hvordan brugerne skal forholde sig.

Det var ikke en god dag i sikkerhedsbranchen, da nyheden om hackerangrebet hos RSA Security kom ud i slutningen af sidste uge.

Et af verdens helt store it-sikkerhedsfirmaer lod hackere slippe indenfor. Og for at gøre ondt værre, fik hackerne fat i oplysninger om login-løsningen SecurID, som bliver brugt af kunder verden over til at beskytte deres egne fortrolige oplysninger.

Læs også: Hackere stjal tophemmelige oplysninger fra sikkerhedsfirmaet RSA

Men bruger man som virksomhed SecurID-tokens, er der ikke grund til at blæse til akut storalarm efter hackerangrebet, lyder det fra partner og teknisk direktør i sikkerhedsfirmaet Dubex, Jacob Herbst.

»Men man bør kikke sin RSA-installation grundigt efter og øge overvågningen efter hackerangrebet. Har man et meget højt sikkerhedsniveau, kan man også overveje at lukke for løsningen indtil videre,« siger han.

Problemet er mest af alt, at det foreløbigt er ret småt med detaljer fra RSA.

»Mængden af information fra RSA har været i underkanten. Så det er et løst grundlag vi har for at vurdere problemets omfang og til at give seriøse råd,« siger han.

Alt tyder på ? ud fra snak i branchen ? at hackerne slap af sted med de nøgler, som RSA bruger til de kendte SecurID-tokens. De små tokens sørger for to-faktor-sikkerhed ved at skabe engangskoder, som bliver ændret hele tiden, ud fra tidspunkt og den hemmelige nøgle, som kun RSA og kunden selv burde kende.

Når en SecurID-bruger logger ind med en engangskode, bliver den tjekket af en server i virksomheden med samme nøgler og algoritmer som de små tokens.

»Vores vurdering er, at de nøgler, som RSA bruger til at programmere tokens med, er blevet stjålet. Hvor stort et problem, det skaber, afhænger af, hvor meget information hackerne ellers fik med, og hvor mange nøgler, de stjal,« siger Jacob Herbst.

Pas på brugernavn og PIN-kode
Men konsekvensen kan i hvert fald være, at hackerne kan danne de rigtige engangskoder til logins. Til gengæld mangler de højt sandsynligt de øvrige informationer, der skal bruges: Brugernavn og pin-kode, samt information om hvilke nøgler, der er tilknyttet hvilke virksomheder.

Derfor er det vigtigste for SecurID-brugerne lige nu at beskytte disse oplysninger.

»Brugerne skal være ekstra opmærksomme på nogle gængse sikkerhedsråd: Undgå phishing-sider, der forsøger at lokke brugernavn ud af folk, og andre forsøg på at få de oplysninger,« siger Jacob Herbst.

Virksomhedens it-sikkerhedsfolk kan med fordel skrue op for overvågningen af login-forsøg, anbefaler han.

»Man bør holde øje med mystiske logins på mærkelige tidspunkter eller fra mærkelige lokationer, som man ikke tidligere har set, og den slags ændrede brugsmønstre. Det er hvad, vi kan råde til nu, med den information, vi har,« siger Jacob Herbst.

Selvom han hellere så, at RSA lagde alle oplysninger om hackerangrebet frem åbent, peger han på, at firmaet som et stort, børsnoteret selskab i USA, nok har mange hensyn at tage i den forbindelse.

Stadig en fornuftig løsning
SecurID-tokens bliver som regel brugt af organisationer, der har meget fokus på sikkerhed. Det betyder på den ene side, at man typisk har resurserne til at tage de nødvendige forholdsregler. Men omvendt gør det også brugerne til oplagte mål.

»Det kan være banker, forsikringsselskaber og nogle offentlige myndigheder, så mange af dem er steder, der er interessante for en hacker,« siger Jacob Herbst.

Hackerangrebet mod RSA påvirker dog ikke hans vurdering af SecurID-løsningen.

»Det, som de blev udsat for, kan i princippet ske for enhver. Og SecurID er stadig en yderst fornuftig løsning, rent teknologisk, med hardware-baserede tokens,« siger han.

Skulle en kunde spørge om råd i morgen, ville han derfor stadig anbefale løsningen.

»En ny kunde vil jo også få en token, der ikke er kompromitteret,« pointerer han med et ironisk smil.

Læs mere om RSA-sagen på Dubex' hjemmeside - og se også it-sikkerhedsguru Bruce Schneiers kommentar

Tips og korrekturforslag til denne historie sendes til tip@version2.dk
Kommentarer (7)
sortSortér kommentarer
  • Ældste først
  • Nyeste først
  • Bedste først
#1 Morten Grouleff

De små tokens sørger for to-faktor-sikkerhed ved at skabe engangskoder, som bliver ændret hele tiden, ud fra tidspunkt og den hemmelige nøgle, som kun RSA og kunden selv burde kende.

Hvorfor skal RSA kende nøglen? Den burde da kun være kendt af det enkelte token. VPN-serveren skal også kende nok til at kunne validere svaret. Men RSA? De skal da ikke kende den...

  • 0
  • 0
#2 Morten Jacobsen

nøø det kan du have ret, det undrer også mig - måske af supportmæssige hensyn? lidt indblik i RSA arkitekturen kan måske besvare det?

Og så vil jeg tilføje at VPN serveren (eller Citrix Web Interface serveren ;-) vel ikke behøver at vide det heller - den skal bare sende login requesten til den lokale RSA server, som sørger for valideringen.

  • 0
  • 0
#3 Deleted User

Her var det, at man godt kunne ønske sig, at artiklen var lidt mere teknisk. Jeg formoder at det der omtales som "den hemmelige nøgle" er den algoritme der bruges, til at generere nøglerne. Samtidig har hver kunde sit eget "Seed-nummer". Har man algoritmen og kundens seed-nummer, kan man altså generere sine egne engangsnøgler. - Men man skal stadig bruge et brugernavn og et password. For 10 år siden var two-factor authentication nærmest ikke eksisterende. Der havde man KUN et brugernavn og et password. Det svarer lidt til at stjæle en cykel med kun ét hjul. - Uden det andet hjul er det gevaldig svært at cykle på cyklen.

Det virkelig interessante her er, at et firma som tjener millarder på (angiveligt) at sikre andre, ikke kan sikre sig selv? Det kunne også være yderst interessant at vide, om hackerne er gået efter nogle specifikke seed-numre.

  • 0
  • 0
#4 Rasmus Kaae

Lad os nu se om det kan bruges i praksis. Som artiklen omtaler så bruger man typisk et brugernavn og en personlig pinkode. Uden disse oplysninger kan man ikke bruge "den hemmelige kode" :-)

  • 0
  • 0
#6 Svante Jørgensen

Det virkelig interessante her er, at et firma som tjener millarder på (angiveligt) at sikre andre, ikke kan sikre sig selv?

Jeg synes nu mere det siger noget om myten om at et IT system forbundet til Internettet kan være ubrydeligt. Der er altid svagheder, og kunsten er mere at have et sikkerhedssystem hvor man kan opdage en trussel tids nok til at beskytte vitale dele, eller i det mindste ens mest sårbare hemmeligheder, før der bliver brudt igennem. Herefter finder man selv såbarheden, lapper den og holder et vågent øje for næste angreb.

  • 0
  • 0
Log ind eller Opret konto for at kommentere