Tokeny RSA zagrożone

Firma RSA, producent używanych w elektronicznej bankowości i systemach zabezpieczeń tokenów RSA SecurID ogłosiła wiadomość o zagrożeniu dla użytkowników swoich produktów.

Tokeny to niewielkie breloczki, albo "kalkulatorki? pokazujące na wyświetlaczach zmieniające się co chwilę hasła jednorazowe. "Kalkulatorki? pozwalają też na "podpisywanie? wstukanej na klawiszach liczby za pomocą zaszytego w środku tajnego klucza, co jest wykorzystywane na przykład przy autoryzacji transakcji bankowych. Dzięki poprawnemu podpisowi, bank wie, że autoryzowaliśmy tę konkretną transakcję i żaden złośliwy program nie podmienił po drodze numeru konta, na które idzie przelew. Podobnie, przy hasłach jednorazowych, bank wie, że hasło jest poprawne, bo oprogramowanie autoryzujące obliczy, że dany token o 5:23 powinien pokazać takie, a nie inne hasło.

Zasada działania tokena opiera się o zaszytą w urządzeniu informację - klucz - która jest znana przez oprogramowanie systemu do którego się autoryzujemy. Każdy klucz - nazywany też "wspólną tajemnicą? (shared secret) - jest inny, i tylko znając klucz można się podszyć pod użytkownika tokena. Po zaprogramowaniu tokena, klucza nie można już z niego wydobyć.

Największy producent tokenów, firma RSA Security (obecnie będąca własnością korporacji EMC) ogłosiła właśnie, że na skutek "bardzo wyrafinowanego? internetowego włamania, w ręce przestępców dostały się informacje mogące osłabić efektywność oferowanych przez firmę narzędzi bezpieczeństwa. Nie wiadomo, jakie informacje wyciekły, ani jaki wpływ mają na bezpieczeństwo tokenów.

Jednocześnie swoim klientom firma przesłała listę środków zaradczych, są to między innymi:

* ograniczenie dostępu do aplikacji społecznościowych dla użytkowników krytycznych aplikacji

* wprowadzenie polityk wymuszania mocnych haseł i numerów PIN

* przydzielanie użytkownikom jak najmniejszych uprawnień

* szkolenie użytkowników z nie podawania haseł i innych tego typu informacji osobom proszącym o to w e-mailach i przez telefon

* aktualizacja systemów i nałożenie dostępnych łat

* ograniczenie dostępu sieciowego i fizycznego do maszyn na których działają serwery zabezpieczeń.

W każdej sytuacji są to dobre reguły bezpieczeństwa sieciowego.

 

[na podstawie informacji firmy RSA, Wired Threat Level]

Janusz A. Urbanowicz