EMCs sikkerhetsavdeling RSA Security er i hardt vær. I mars innrømmet de å ha vært utsatt for et datainnbrudd, og at deres produkt for tofaktor autentisering, SecurID, kunne være kompromittert. I forrige uke ble det påvist at informasjon kapret gjennom dette innbruddet ble brukt til et datainnbrudd mot Lockheed Martin, en amerikansk leverandør av kampfly.
SecurID er en kodebrikke til bruk i innlogging med tofaktor autentisering: For å få tilgang til ønsket tjeneste, må man oppgi brukernavn, passord og det sekssifrede tallet som kodebrikken viser i påloggingsøyeblikket.
I går kveld norsk tid publiserte styreleder Art Coviello i RSA et åpent brev til SecurID-kundene. Her fortelles det at RSA utvider sitt støttetilbud til SecurID-kundene med to tiltak, utbytting av kodebrikker og implementasjon av det RSA kaller «risikobasert autentisering».
Det dreier seg altså ikke om en generell tilbakekalling av de anslagsvis 40 millioner SecurID-kodebrikker som er i bruk i dag, men om muligheten for å bytte dem ut dersom det skal være påkrevet. Lockheed Martin har byttet ut sine 25.000 brikker allerede, og man kan antakelig vente at noen millioner brikker vil bli byttet ut.
«Risikobasert autentisering» er en løsning der systemet følger med i hvordan brukeren logger seg på, og sammenlikner hver pålogging med det som er registrert som typisk atferd hos denne brukeren.
Ved avvik fra det normale, eller ved tilgang til spesielle tjenester, kan brukeren avkreves forsterket autentisering. Man kan for eksempel nøye seg med brukernavn og passord for visse tjenester, og kreve tall fra kodebrikke for mer følsomme tjenester. Ideen er at strengheten i autentiseringen skal balansere med risikoen i transaksjonen. Har man allerede kodebrikkebasert autentisering i utgangspunktet, kan man bruke risikobasert autentisering til å avkreve nye tallkoder underveis hvis systemet mener risikoen er hevet, eventuelt man kan kreve en kode levert per tekstmelding til en allerede registrert mobiltelefon for å supplere koden fra kodebrikken.
RSA sier de hadde kommet fram til etter innbruddet i mars at kunder innen forsvarsindustrien var mest utsatt for angrep som benyttet informasjon tappet fra dem. De beskriver tiltak tatt overfor kunder i både denne kategorien og i mindre utsatte kategorier. Utbytting av kodebrikker er spesielt rettet mot risikokunder. Overfor forbrukerrettede kunder, som banker, beskrives innføring av risikobasert autentisering som mer aktuelt.
Det er et problem for RSA at innbruddet mot Lockheed Martin ble vellykket trass i tiltakene som ble iverksatt for å redusere trusselen mot risikokundene. Det gis ingen forklaring på hvordan dette kunne skje. Det er ikke avdekket andre tilfeller av datainnbrudd basert på SecurID-informasjon på avveie.
Sikkerhetseksperter har kritisert RSA for ikke å ha vært åpne nok overfor kunder. I det åpne brevet forsvarer Coviello seg med at det var umulig å gå ut med for mye informasjon, fordi da ville man gitt dataranerne opplysninger som kunne økt risikoen for vellykkede innbrudd mot SecurID-kundene.
Saken vil antakelig ikke få betydelige følger i Norge. Kommunikasjonssjef Mona Strøm Arnøy i BankID Norge sier til digi.no at ingen i BankID-samarbeidet bruker RSA til innlogging i nettbank. SecurID brukes derimot til andre formål.
Kaja Narum, som leder den nordiske virksomheten til RSA, sier til digi.no at hun ikke tror på omfattende utskiftninger, med at det er opptil kundene å avgjøre hva de trenger.
– Vi vil forsikre at vi gir alle kunder disse mulighetene, understreker hun. – Å bytte ut kodebrikker er ikke en stor jobb. De må byttes ut jevnlig uansett, og distribusjon og logistikk er på plass.
Kilder «nær RSA» sier til magasinet Ars Technica at det dataranerne fikk tak i ved å trenge gjennom RSAs kyberforsvar i mars, var «såkorntall» til SecurID-brikker. Disse tallene er inndata til algoritmen som beregner hvilken tallkode brikken skal vise, og som sjekkes av autentiseringssystemets server. Kjenner man et slikt tall, vet hvem som eier brikken assosiert med dette tallet, og attpåtil har tilgang til algoritmen, kan man, dersom man kjenner til brikkeeierens brukernavn og passord, gi seg ut for å være vedkommende.
Teorien hittil om innbruddet mot Lockheed Martin, har vært at noen har «phishet» en av selskapets betrodde leverandører, og fått tak i dennes brukernavn og passord. Dataraneren har også greid å bruke informasjon hentet fra innbruddet mot RSA til å trenge gjennom SecurID.
Dersom det stemmer at informasjonen tappet fra RSA er såkorntallene til SecurID-algoritmen, og at SecurID-algoritmen også er kjent av kriminelle elementer – eller spioner – er RSA i en alvorlig krise.
SecurID-algoritmen skal være en intern hemmelighet. Ars Technica påstår, uten henvisning til kilde, at algoritmen er «public knowledge». Den nordiske RSA-sjefen avviser dette overfor digi.no.
Les også:
- [26.08.2011] Avslører koden som torpederte RSA
- [06.07.2011] BankID falt ned
- [06.06.2011] Brukte RSA-hull mot Lockheed
- [18.03.2011] RSAs «SecurID» kan være kompromittert