RSA til kunder efter SecurID-hackerangreb: Pas på phishing!

Kunderne skal være ekstra varsomme med at beskytte brugernes personlige kodeord, efter hackere brød ind hos RSA. Hackerne har sandsynligvis den ene halvdel af den sikre nøgle.

Sikkerhedsfirmaet RSA holder fortsat kortene tæt til kroppen, når det gælder spørgsmålet om, hvad hackerne kan være sluppet af sted med, da de tidligere i år brød ind i RSA's egne it-systemer. Men ud fra de råd, som RSA giver kunderne, ser det ud til, at de såkaldte token seeds kan være blevet kopieret.

RSA fokuserer nemlig i høj grad på, at kunderne skal instruere deres brugere i at være ekstra påpasselige over for phishing-forsøg. Det stemmer godt overens med, at hackerne som minimum har fat i selve seed-værdierne.

RSA's SecurID fungerer ved, at kunderne har en server stående, som sørger for autentificering. Hver bruger har desuden en token, som genererer en engangskode ud fra en fast talværdi, kaldet et seed, samt tidspunktet ved hjælp af en algoritme.

RSA vil hverken bekræfte eller afvise, hvorvidt seed-værdierne er kompromitteret. Men selv hvis hackerne har en komplet liste over samtlige seed-værdier, der er udstedt, så skal hackerne bruge mere information.

Den mest nyttige information, som de muligvis har fået med fra RSA, vil være en liste, som knytter seed-værdierne sammen med serienumrene på de udstedte tokens. Selv det vil dog kun være en begrænset hjælp, medmindre hackerne også kan se, hvilke kunder der har fået udstedt hvilke serier af tokens.

I så fald vil hackerne være i besiddelse af stort set den ene halvdel af brugerens nøgle, da algoritmerne ifølge det danske firma Dubex har været kendt i adskillige år. Derfor vil hackerne være i stand til at generere en engangskode for en bestemt token, selvom de ikke har den fysiske token.

Læs også: Bruger du RSA's SecurID-tokens? Se hvad hackerangrebet betyder for dig

Men selv i den situation, så kender hackerne ikke sammenhængen mellem brugere og tokens. Derfor lyder ét af RSA's råd til kunderne, at man skal sørge for at følge selskabets vejledninger til opsætning af sin autentificeringsserver, så man eksempelvis spærrer for en bruger efter et begrænset antal fejlslagne loginforsøg.

Samtidig bør man overvåge sine logfiler for usædvanlig loginaktivitet, der kan være tegn på, at hackere forsøger at gætte sig frem til den anden halvdel af to-faktor-autentificeringen: Brugerens brugernavn og personlige kode.

Brute force-forsøg er dog næppe en effektiv vej ind i virksomheder, som benytter RSA's system, da man må formode, at de anvender en streng password-politik. Derfor lyder RSA's andet vigtige råd, at man skal instruere sine brugere i, hvordan de undgår at udlevere deres login-oplysninger.

For eksempel vil hackerne være interesserede i at få knyttet en bestemt bruger til en bestemt token ved at forsøge at lokke serienummeret ud af brugeren. Derfor skal man understrege over for sine brugere, at de under ingen omstændigheder vil blive bedt om at udlevere oplysninger som brugernavn, kodeord eller serienummer.

Samtidig skal brugerne også lade være med at indtaste de koder, de skaber med deres token, på hjemmesider, som de ikke normalt besøger eller har modtaget et link til via e-mail. Ved hjælp af koden og tidspunktet vil det i visse tilfælde være muligt for hackerne at finde frem til, hvilken bruger der har en bestemt token.

RSA understreger også, at man skal sørge for specielt at indskærpe påpasselighed over for medarbejdere, der arbejder i helpdesk-funktioner, fordi de kan blive udsat for målrettede phishing-forsøg, hvor hackerne forsøger at udgive sig for at være en medarbejder i virksomheden. Derfor bør helpdesk-medarbejdere forsøge at bekræfte en brugers identitet gennem en uafhængig kanal som eksempelvis en e-mail eller ved at kontakte medarbejderens chef.

Hvis det er seedværdierne, som hackerne har fået fat på hos RSA, så vil RSA kunne løse problemet ved at udstede nye tokens til kunderne, når selskabet har sikret sig, at dets infrastruktur ikke længere er kompromitteret.

Konsekvenserne af hackerangrebet mod RSA er for langt de fleste kunder en forhøjet risiko. Det er dog næppe sandsynligt, at hackere har fået fat i information, som vil kunne bruges til massive angreb mod mange kunder. Det er mest sandsynligt, at angrebene vil kræve en del manuelt arbejde fra hackernes side for at få fat i den anden halvdel af to-faktor-autentificeringen, og derfor vil det i praksis være et spørgsmål om at gå efter én bestemt kunde af gangen, sådan som det angiveligt var tilfældet med angrebet mod Lockheed-Martin.

Læs også: Ukendte hackere blotter USA's forsvar med falske SecurID-nøgler

Tips og korrekturforslag til denne historie sendes til tip@version2.dk
Kommentarer (2)
sortSortér kommentarer
  • Ældste først
  • Nyeste først
  • Bedste først
Thomas Jensen

Jeg synes det er ret interessant at Lockheed-Martin er ramt. De må formodes at tage sikkerhed meget alvorligt, så de råd RSA kommer med, er formentlig allerede indarbejdede procedurer hos dem. Og mere til.

Men lige så snart der opstår et hul i to-faktor-autentificeringen, så vælter korthuset. At de har kunne holde ubudne gæster ude indtil nu, siger så måske noget om to-faktor-autentificeringen. Men at det i så fald i den grad har holdt røven oppe på dem, det er synes jeg er overraskende.

Der må da være tale om et seriøst sikkerhedsbrist et eller andet sted i organisationen - et brist der må betegnes som dybt uprofessionelt for en våbenproducent.

Har de stolet for blindt på deres autentificering af brugerne? Eller har indbruddet været muligt pga. andre sikkerhedssvigt? Og burde de sikkerhedssvigt ikke være blevet opfanget, inden skaden opstår?

Uanset hvad, så må der da sidde nogen med røde ører hos Lockheed-Martin.

  • 0
  • 0
Lenny Hansson

Ja det gør det. Da RSA blev komprimenteret var der flere tæt på RSA og sikkerheds folk der kiggede på angrebet fra sidelinien, der beskrev at dette kun kunne være en fuld komprimentering af ALLE deres nøgler. Der var sågar flere Amerikanske virksomheder og statslige institutioner der samme dag dette blev kendt simpelt hen fjernede RSA token systemet som et sikkert system.

Så kommer det bag på nogen at det er blevet udnyttet ? Jeg forstår dog ikke at mange herhjemme stadig bruger det som et "sikkert" log on system når det er fuldt komprimenteret ??

\Lenny

  • 0
  • 0
Log ind eller Opret konto for at kommentere