Jak włamywano się na Zachód

Firma F-Secure ujawniła szczegóły techniczne ataku, w którym wykradziono "klucze do Internetu" - informacje potrzebne do złamania używanych przez banki i firmy zabezpieczeń RSA SecurID. Opisany tam sposób dotarcia do danych pokazuje, że firma produkująca zabezpieczenia najwyższej klasy, z jakichś powodów, prawdopodobnie dla wygody i oszczędności w skandaliczny sposób zaniedbała zabezpieczenia tych danych.
Jak włamywano się na Zachód Żaden system ochrony danych nie pomoże, jeśli pracownicy będą nieroztropni. Firma F-Secure ujawniła szczegóły techniczne ataku, w którym wykradziono "klucze do Internetu" - informacje potrzebne do złamania używanych przez banki i firmy zabezpieczeń RSA SecurID. Opisany tam sposób dotarcia do danych pokazuje, że firma produkująca zabezpieczenia najwyższej klasy, z jakichś powodów, prawdopodobnie dla wygody i oszczędności w skandaliczny sposób zaniedbała zabezpieczenia tych danych. Opisany szczegółowo przez F-Secure i RSA (odnośniki do stron w języku angielskim) atak miał kilka faz: w pierwszej, nieostrożny pracownik zaraził swój komputer koniem trojańskim poprzez otwarcie wiadomości zawierającej złośliwy arkusz kalkulacyjny. W ten sposób włamywacze zdobyli w firmie przyczółek. Stamtąd, wykorzystując hasła zarażonego użytkownika i luki w zabezpieczeniach serwerów, włamywacze dotarli do serwerów na których znajdowały się dane tokenów. Jakie - do dzisiaj dokładnie nie wiadomo. Wiadomo, że dzięki nim można było "otworzyć" zabezpieczenia wykorzystujące tokeny SecurID. Zostało to później wykorzystane przy włamaniach do firm współpracujących z amerykańskim rządem i wojskiem, realizowanych przez nie wskazywane przez komentatorów "państwo narodowe". Gdzie jest zaniedbanie? Te dane są tak ważne, że nie powinny być dostępne na komputerach osiągalnych z Internetu. Wykorzystywane przez dziesiątki tysięcy firm tokeny SecurID to niewielkie breloczki generujące zmieniające się co kilka minut hasła jednorazowe na podstawie zaszytego w nich przez producenta tajnego klucza. Ten sam klucz wprowadza się do oprogramowania autoryzującego dostęp, jeśli hasło jest poprawne, w założeniu oznacza to, że użytkownik ma właściwy token. Lista kluczy przypisanych konkretnym tokenom to hasło do Sezamu - największa tajemnica firmy, na zachowaniu tej tajemnicy opiera się bezpieczeństwo wszystkich usług zabezpieczonych za pomocą tokenów SecurID. Takie dane powinny być strzeżone jak kody zabezpieczające broń jądrową.

Opisany szczegółowo przez F-Secure i RSA(odnośniki do stron w języku angielskim)atak miał kilka faz: w pierwszej, nieostrożny pracownik zaraził swój komputer koniem trojańskim poprzez otwarcie wiadomości zawierającej złośliwy arkusz kalkulacyjny. W ten sposób włamywacze zdobyli w firmie przyczółek. Stamtąd, wykorzystując hasła zarażonego użytkownika i luki w zabezpieczeniach serwerów, włamywacze dotarli do serwerów na których znajdowały się dane tokenów. Jakie - do dzisiaj dokładnie nie wiadomo, wiadomo, że dzięki nim można było "otworzyć" zabezpieczenia wykorzystujące tokeny SecurID. Zostało to później wykorzystane przy włamaniach do firm współpracujących z amerykańskim rządem i wojskiem, realizowanych przez nie wskazywane przez komentatorów "państwo narodowe". Jak odbyło się pierwsze zarażenie, możemy zobaczyć na filmie poniżej:

 

Gdzie jest zaniedbanie? Te dane są tak ważne, że nie powinne być distępne na komputerach osiągalnych z Internetu. Wykorzystywane przez dziesiątki tysięcy firm tokeny SecurID to niewielkie breloczki generujące zmieniające się co kilka minut hasła jednorazowe na podstawie zaszytego w nich przez producenta tajnego klucza. Ten sam klucz wprowadza się do oprogramowania autoryzującego dostęp, jeśli hasło jest poprawne, w założeniu oznacza to, że użytkownik ma właściwy token. Lista kluczy przypisanych konkretnym tokenom to hasło do Sezamu - największa tajemnica firmy, na zachowaniu tej tajemnicy opiera się bezpieczeństwo wszystkich usług zabezpieczonych za pomocą tokenów SecurID. Takie dane powinny być strzeżone jak kody zabezpieczające broń jądrową. Dla porównania, dużo mniej istotnym informacjom wojsko przydziela stopeń tajności, wymagający przesyłania ich przez osobną sieć komputerową, odciętą od Internety i przeznaczoną dla informacji tajnych. Tymczasem klucze do SecurID, zamiast w wydzielonej sieci,  leżały na serwerach, do których można było połączyć się z biurowego komputera, na którym pracownicy firmy czytali pocztę.

Co gorsza, branżowe plotki mówią, że wykradziona została nie lista kluczy tokenów, ale metoda na określenie klucza danego tokenu na podstawie jego numeru seryjnego, widocznego na naklejce z tyłu urządzenia. To tak jakby najdroższe, najbezpieczniejsze na rynku sejfy dawało się rozpruć otwieraczem do puszek - jeśli się wie gdzie go wbić.

Jeśli brak odpowiednich zabezpieczeń wykorzystują włamywacze w młodej firmie, zajmującej się czymś zupełnie innym, można położyć to na karb szybkiego rozwoju, skupiania się na podstawowej działalności - biznesowych chorobach wieku dziecięcego. Jeśli zaś okazuje się, że tajemnice firmowe były źle zabezpieczone w firmie która jest praktycznie matką branży internetowego bezpieczeństwa - nie ma na to wystarczająco negatywnego, cenzuralnego, określenia.

 

Janusz Urbanowicz jest członkiem zespołu Technologii, oraz niezależnym konsultantem w dziedzinie technologii internetowych i bezpieczeństwa. Prowadzi bloga pod adresem Fnord.pl.

Finansowe i organizacyjne koszty zabezpieczeń są na tyle wysokie, że część zarządów firm, mniej czy bardziej świadomie decyduje się na ryzykowanie danymi swoich klientów

Zobacz więcej na temat:

Skomentuj:

Musisz się zalogować, by dodać komentarz. Jeśli nie posiadasz konta zarejestruj się.

Więcej o: