Opisany szczegółowo przez F-Secure i RSA (odnośniki do stron w języku angielskim) atak miał kilka faz: w pierwszej, nieostrożny pracownik zaraził swój komputer koniem trojańskim poprzez otwarcie wiadomości zawierającej złośliwy arkusz kalkulacyjny. W ten sposób włamywacze zdobyli w firmie przyczółek. Stamtąd, wykorzystując hasła zarażonego użytkownika i luki w zabezpieczeniach serwerów, włamywacze dotarli do serwerów na których znajdowały się dane tokenów. Jakie - do dzisiaj dokładnie nie wiadomo, wiadomo, że dzięki nim można było "otworzyć" zabezpieczenia wykorzystujące tokeny SecurID. Zostało to później wykorzystane przy włamaniach do firm współpracujących z amerykańskim rządem i wojskiem, realizowanych przez nie wskazywane przez komentatorów "państwo narodowe". Jak odbyło się pierwsze zarażenie, możemy zobaczyć na filmie poniżej:
Gdzie jest zaniedbanie? Te dane są tak ważne, że nie powinne być distępne na komputerach osiągalnych z Internetu. Wykorzystywane przez dziesiątki tysięcy firm tokeny SecurID to niewielkie breloczki generujące zmieniające się co kilka minut hasła jednorazowe na podstawie zaszytego w nich przez producenta tajnego klucza. Ten sam klucz wprowadza się do oprogramowania autoryzującego dostęp, jeśli hasło jest poprawne, w założeniu oznacza to, że użytkownik ma właściwy token. Lista kluczy przypisanych konkretnym tokenom to hasło do Sezamu - największa tajemnica firmy, na zachowaniu tej tajemnicy opiera się bezpieczeństwo wszystkich usług zabezpieczonych za pomocą tokenów SecurID . Takie dane powinny być strzeżone jak kody zabezpieczające broń jądrową. Dla porównania, dużo mniej istotnym informacjom wojsko przydziela stopeń tajności, wymagający przesyłania ich przez osobną sieć komputerową, odciętą od Internety i przeznaczoną dla informacji tajnych. Tymczasem klucze do SecurID, zamiast w wydzielonej sieci, leżały na serwerach, do których można było połączyć się z biurowego komputera, na którym pracownicy firmy czytali pocztę.
Co gorsza, branżowe plotki mówią, że wykradziona została nie lista kluczy tokenów, ale metoda na określenie klucza danego tokenu na podstawie jego numeru seryjnego, widocznego na naklejce z tyłu urządzenia. To tak jakby najdroższe, najbezpieczniejsze na rynku sejfy dawało się rozpruć otwieraczem do puszek - jeśli się wie gdzie go wbić.
Jeśli brak odpowiednich zabezpieczeń wykorzystują włamywacze w młodej firmie, zajmującej się czymś zupełnie innym, można położyć to na karb szybkiego rozwoju, skupiania się na podstawowej działalności - biznesowych chorobach wieku dziecięcego. Jeśli zaś okazuje się, że tajemnice firmowe były źle zabezpieczone w firmie która jest praktycznie matką branży internetowego bezpieczeństwa - nie ma na to wystarczająco negatywnego, cenzuralnego, określenia.
Janusz Urbanowicz jest członkiem zespołu Technologii, oraz niezależnym konsultantem w dziedzinie technologii internetowych i bezpieczeństwa. Prowadzi bloga pod adresem Fnord.pl .
Finansowe i organizacyjne koszty zabezpieczeń są na tyle wysokie, że część zarządów firm, mniej czy bardziej świadomie decyduje się na ryzykowanie danymi swoich klientów
Zobacz więcej na temat:
- Drukuj
Zobacz także:
Najczęściej czytane Miejsce na Twoją Reklamę Kup ten box na cały dzień AdTaily.pl
