Tovább titkolózik az RSA

Az EMC biztonsági részlegeként működő RSA március közepén ismerte el hivatalosan, hogy egy biztonsági incidens történt a vállalatnál. A vizsgálatok során kiderült, hogy a támadások az RSA egyik legismertebb megoldásával, a SecurID-val kapcsolatos bizalmas információk kiszivárgásához vezetett. A múlt hónapban Art Coviello, az RSA elnöke egy nyílt levélben a következőket írta: "Vizsgálataink során bebizonyosodott, hogy a támadás miatt bizonyos információk kikerültek az RSA rendszeréből. Ezek közül néhány kifejezetten a SecurID kétfaktoros azonosítást lehetővé tevő termékeinkhez köthető. Jelenleg biztosak vagyunk abban, hogy a kiszivárgott adatok nem tesznek lehetővé közvetlen támadásokat az ügyfeleink ellen, viszont az illetéktelen kezekbe került információk csökkenthetik a jelenlegi kétfaktoros authentikációs megoldásaink hatékonyságát".

Az RSA elnökének üzenete nem igazán nyugtatta meg a cég ügyfeleit, különösen azért nem, mert nagyon homályos kijelentéseket tartalmazott. Azóta aztán kiderült, hogy az RSA-t egy APT (Advanced Persistent Threat) támadás érte, melynek során szerepet játszottak különféle social engineering alapú trükkök, valamint a Flash Player egy ki nem javított sérülékenysége is. Az egyik alkalmazott ugyanis egy olyan levelet kapott, amelynek speciálisan összeállított Flash-t tartalmazó Excel állomány volt a csatolmánya. Ezt a levelet az RSA munkatársa megnyitotta ráadásul úgy, hogy előtte a spamek számára elkülönített mappából kotorta elő az e-mailt, azt gondolva, hogy biztos fontos, és a spamszűrő tévesen szűrte ki azt. Amint megnyitotta az Excel fájlt a támadók kódja lefutott, és tulajdonképpen szabaddá vált az út az RSA egyes rendszerinek feltérképezése, a jelszavak megszerzése, és az adatok kiszivárogtatása előtt. A támadók az összegyűjtött bizalmas adatokat jelszóval ellátott, RAR-ral betömörített állományok formájában töltötték fel egy FTP-szerverre a biztonsági cég hálózatából. Azonban a nyilvánosság arra nem kapott választ, hogy mi is volt ezekben a RAR-fájlokban.

Titkolózás

Az aggodalmak csökkentéséhez nem igazán járult hozzá az sem, hogy az RSA úgy határozott, hogy nem osztja meg a nyilvánossággal a vizsgálatainak további eredményeit, hanem azokat csak azon ügyfelei számára teszi közzé, amelyek előbb egy titoktartási nyilatkozatot írnak alá. A cég tájékoztatása szerint az incidens kapcsán eddig 60 ezer ügyfelét értesítette levélben, 15 ezer ügyfelével vette fel a kapcsolatot telefonon, és több mint ötezer partnerével folytatott le konferenciabeszélgetést. Mindezek mellett több száz - incidenssel összefüggő - tárgyalás áll a cég munkatársainak háta mögött. Azonban arra nem adott választ a vállalat, hogy eddig hányan írták alá a titoktartási nyilatkozatot.

Ron Gula, a Tenable Network Security elnök-vezérigazgatója elmondta, hogy őt is megkérték arra, hogy írjon alá egy titoktartási megállapodást, de nem tette meg. "Ez nekem gyanús. Miért rejtegetik az információkat?" - fejezte ki aggodalmait Gula, aki elmondta, hogy az eset nem hozta könnyű helyzetbe őt sem, és már más authentikációs megoldások használatát fontolgatja. Hasonló módon utasította vissza az RSA-féle megállapodást Bill Nelson, az FS-ISAC (Financial Services - Information Sharing and Analysis Centre) elnöke is. Azonban például Jon Oltsik, az Enterprise Strategy Group elemzője beleegyezett a titoktartásba. Miután megkapta a tájékoztatást, annyit mondott, hogy "egy kicsit okosabb lettem".

Az látszik, hogy az RSA igyekszik információval ellátni az ügyfeleit, de eközben a biztonsági szakértőket, informatikusokat nem tudja megfelelően megnyugtatni, akik joggal gondolják azt, hogy komolyabb rejtegetni valója van a vállalatnak. Sokan pedig nem is értik, hogy az RSA miért gondolja azt, hogy egy ilyen széles körben alkalmazott technológia esetében előbb utóbb nem szivárog ki az igazság.

Lendületbe jöhetnek a szoftveres tokenek

Ron Gula azon gondolatával, miszerint authentikációs technológiát kellene váltani, biztosan nincs egyedül. Ezért nem meglepő módon az RSA piaci riválisai most minden eddiginél jobban figyelemmel kísérik a történteket. Annyi biztos, hogy az RSA esete és titkolózása nem tesz jót a tokenekbe vetett bizalomnak, különösen nem a hardveralapú megoldásoknak. Ezért aztán egyre inkább a figyelem középpontjába kerülnek a szoftveres vagy a mobil tokenek, amelyek számos előnnyel rendelkeznek a hardveres társaikhoz képest. Így például költséghatékonyabbak, hiszen nem kell hardveres tokenekre költeni. A kényelmes használatban is előrébb járnak, ugyanis akár egy mobiltelefont is képesek a kétfaktoros azonosításba bevonni. Vagyis a feladatukat költségkímélőbben és felhasználóbarátabb módon végzik, mint a hardveres társaik.

Nyilvánvalóan a szoftveres tokenek sem mentesek minden hátránytól és fenyegetettségtől. Mivel különféle - általában mobil - platformokon futnak, ezért számos olyan sebezhetőséggel szembe kell nézniük, amelyeket például a mobil operációs rendszerek hordoznak. Arra azért a legtöbb gyártó gondol, hogy a mobil eszközök könnyedén elveszhetnek, ezért a készülékeken nem tárolnak tokenekhez tartozó jelszavakat, PIN-kódokat, de nyilván azért azokat valamikor meg kell adnia a felhasználónak. Mivel azonban az okostelefonok esetében is egyre gyakoribbá válik a kémprogramok terjedése, valamint az adatszivárgás, ezért kockázati tényezők ez esetben is felmerülhetnek. Ugyancsak hátrány, hogy amíg a hardveres tokenek az esetek többségében csak olvasható memóriával rendelkeznek, addig a szoftveres eszközök könnyebben válhatnak manipulálhatóvá. Cserébe viszont nem tartalmaznak "beégetett" seed-eket, amik az RSA-incidens kapcsán akár veszélybe is kerülhettek. Nyilván azt sem lehet 100 százalékosan kizárni, hogy magukban a soft tokenekben nincsenek biztonsági rések.

Mit hoz a jövő?

Érdekes lesz megfigyelni azt is, hogy a tokenek piacát miként foga befolyásolni a mobil szolgáltatások terjedése. Kérdés például, hogy milyen megoldással sikerül áthidalni azt, hogy a hitelesítéshez használt SMS-ek ugyanazokra a készülékekre érkeznek, amelyekről a mobil banki szolgáltatások is elérhetők, vagy azt, hogy a szoftveres tokenek ugyanazokon az eszközön generálják az egyszer használatos jelszavakat, mint amin a felhasználó a banki ügyeit is intézi.

A tokenfejlesztők koránt sincsenek könnyű helyzetben. Az RSA-val történt események alaposabb mérlegelésre fogják ösztönözni a vállalatokat, felhasználókat, akik az eddigieknél nagyobb valószínűséggel fordulhatnak a szoftveres tokenek felé. Mindenesetre az biztos, hogy a kétfaktoros azonosításra szükség van, mert a sok sebből vérző jelszóalapú hitelesítés önmagában nem képes helytállni.