RSA SecurID Hacked, μεγαλύτερη προσοχή τώρα

by Stefanos Kofopoulos • On 18-03-2011 • AT 6:42 pm • 1 ΣΧΟΛΙΟ
Τεχνολογία

RSA SecurID Hacked, μεγαλύτερη προσοχή τώρα

Δυστυχώς η εβδομάδα δεν τελειώνει καλά, αφού η EMC ανακοίνωσε ότι οι servers της RSA έπεσαν θύμα hack και πληροφορίες σχετικά με το SecurID κλάπηκαν. Πρακτικά αυτό σημαίνει ότι όσοι χρησιμοποιούσαν ένα επιπλέον token για να συνδέονται με μεγαλύτερη ασφάλεια σε sites όπως αυτά των τραπεζών αλλά και σε εταιρικά VPN, έχουν ένα καλό λόγο να ανησυχούν και ένα καλό λόγο να είναι ακόμα πιο προσεχτικοί.

Η θεωρία είναι απλή. Για μεγαλύτερη ασφάλεια ο χρήστης έχει το συνηθισμένο user name και password αλλά παράλληλα χρησιμοποιεί ένα 6-ψήφιο νούμερο που αλλάζει περίπου κάθε ένα λεπτό στην οθόνη του SecurID. Το νούμερο αυτό δημιουργείται από κάποιο αλγόριθμο που αναγνωρίζει ο server που προσπαθεί να συνδεθεί ο browser και μαζί με το user name και password επιτρέπει την πρόσβαση, ας πούμε στο site της τράπεζας Χ.

Ακόμα και αν κάποιος είχε μάθει το password, θα έπρεπε να έχει στην κατοχή του και το RSA SecurID ή να γνωρίζει τον τρόπο που δημιουργούνται τα νούμερα. Δυστυχώς φαίνεται ότι με το hack στους servers της RSA έχουν διαρρεύσει σημαντικές πληροφορίες για τον αλγόριθμο που παράγει αυτά τα “μαγικά” νούμερα. Το τοπίο δεν είναι ξεκάθαρο αλλά η εταιρεία ανακοίνωσε ότι ήδη μιλάει με τους πελάτες σχετικά με το συμβάν και προτείνει τα εξής:

We recommend customers increase their focus on security for social media applications and the use of those applications and websites by anyone with access to their critical networks.

* We recommend customers enforce strong password and pin policies. We recommend customers follow the rule of least privilege when assigning roles and responsibilities to security administrators.

* We recommend customers re-educate employees on the importance of avoiding suspicious emails, and remind them not to provide user names or other credentials to anyone without verifying that person’s identity and authority. Employees should not comply with email or phone-based requests for credentials and should report any such attempts.

* We recommend customers pay special attention to security around their active directories, making full use of their SIEM products and also implementing two-factor authentication to control access to active directories.

* We recommend customers watch closely for changes in user privilege levels and access rights using security monitoring technologies such as SIEM, and consider adding more levels of manual approval for those changes.

* We recommend customers harden, closely monitor, and limit remote and physical access to infrastructure that is hosting critical security software.

* We recommend customers examine their help desk practices for information leakage that could help an attacker perform a social engineering attack.

* We recommend customers update their security products and the operating systems hosting them with the latest patches.

CareerNet.gr: Βρείτε τώρα τη δουλειά που σας ταιριάζει!

1 ΣΧΟΛΙΟ

  1. Οι προτάσεις της RSA απευθύνονται στις εταιρίες (π.χ. τράπεζες) κι όχι στους τελικούς χρήστες, γιατί οι πρώτοι είναι ουσιαστικά οι πελάτες της.

    Αν μη τι άλλο η είδηση αυτή είναι μια καλή ευκαιρία για να καταλάβει ο οποιοσδήποτε χρήστης του διαδικτύου κάτι που μερικές φορές ούτε οι IT-related επαγγελματίες δεν εννοούν να εμπεδώσουν: Η πραγματική ασφάλεια έρχεται όταν δεν βασίζεσαι στο να κρατάς κρυφούς τους μηχανισμούς ασφάλειάς σου (security through obscurity) για να τα διατηρήσεις τα δεδομένα σου απροσπέλαστα.

    Για να εξηγήσω, η δύναμη της κρυπτογραφίας, όταν χρησιμοποιείται σωστά, είναι ότι όση πληροφορία και να αποκτήσεις για έναν αλγόριθμο/μηχανισμό κρυπτογράφησης, το κόστος (χρόνος-χρήμα) του να τον σπάσεις είναι μεγαλύτερο από το κέρδος ανάκτησης πρόσβασης στα απο-κρυπτογραφημένα δεδομένα.

    Έτσι, όπως λέει κι η ίδια η RSA το σημαντικό είναι να ενισχυθεί η ασφάλεια στο κεντρικό κόμβο (οι εγκαταστάσεις του πελάτη) δημιουργίας κλειδιών και αντιστοίχησης τους με πραγματικές οντότητες, ώστε ακόμα κι αν κάποιος πάρει ένα SecurID token που δεν προέρχεται από π.χ. την τράπεζα να μην μπορεί να παρουσιαστεί σαν νόμιμος χρήστης στην ιστοσελίδα της.

    Για εμάς τους απλούς χρήστες αρκεί το Username, το Password και το οποιοδήποτε token (τύπου SecurID) να βρίσκονται σε διαφορετικά σημεία, με τα πρώτα δύο ιδανικά μόνο στο μυαλό μας.

    Όποιος ενδιαφέρεται να μάθει περισσότερα για αυτά τα tokens και τον μηχανισμό με τον οποίο δουλεύουν ας ξεκινήσει την έρευνά του με τη φράση “one time password”. :)

Top

Show Buttons
Hide Buttons