RSA SecurID i ny utgave, med USB-utgang. (Bilde: Alexander Klink)

RSAs «SecurID» kan være kompromittert

Det er avslørt vedvarende datainnbrudd mot EMCs sikkerhetsselskap.

EMC har overlevert til USAs finanstilsyn SEC (Securities and Exchange Commission) dokumenter som gjør rede for vedvarende datainnbrudd mot deres heleide sikkerhetsselskap RSA. Det innrømmes at RSAs svært utbredte produkt for tofaktorautentisering, SecurID, kan være kompromittert.

Dokumentene omfatter et Åpent brev til RSAs kunder, og et notat til brukere av SecurCare Online, nettimplementasjonen av SecurID. Det åpne brevet er også lagt ut på RSAs nettsted.

I det åpne brevet heter det at EMC nylig avslørte et «svært avansert kyberangrep» mot RSA, og iverksatte straks hensiktsmessige mottiltak i samarbeid med relevante myndigheter.

De karakteriserer angrepet som en «Advanced Persistent Threat» (APT), altså en avansert og vedvarende trussel. Denne betegnelsen brukes i IT-sikkerhetsmiljøer til å beskrive samordnede angrep fra kompetent og velorganisert hold med klart definerte langsiktige mål (i motsetning til kortsiktig pengegevinst), som pågår over et lengre tidsrom og som utnytter forskjellige angrepsmetoder.

Angriperne har greid å hente informasjon fra RSAs datasystemer. Noe av denne informasjon dreier seg om SecurID.

EMC sier seg sikre på at informasjonen ikke er tilstrekkelig til å muliggjøre et direkte og vellykket angrep mot noen som bruker SecurID. Samtidig innrømmer de følgende:

– Denne informasjonen kan potensielt brukes til å redusere styrken til en implementasjon av tofaktorautentiseringen som del av et bredere angrep.

EMC sier det ikke er funnet tegn på at andre produkter fra RSA eller EMC kan være kompromittert. De tror angriperne heller ikke har fått tak i noe som kan identifisere verken kunder eller ansatte.

I brevet til kundene gjentas at kun SecurID-implementasjoner kan være i faresonen. Brevet inneholder flere anbefalinger. Noen av disse er velkjente – årvåkenhet ved bruk av e-post og sosiale medier, håndheving av regler for sterke passord med mer – mens andre innebærer økt kontroll med tilgang til interne systemer, bedre vern av interne katalogtjenester (ActiveDirectory) og mer konsekvent bruk av løsninger for håndtering av sikkerhetsinformasjon og -hendelser (SIEM for «security information and event management»).

Det heter videre at enkeltkunder vil få spesifikk hjelp til å redusere risikoen.

SecurID er svært utbredt i miljøer med utstrakt håndtering av følsom informasjon, som det militære, banker, finansinstitusjoner, helse og så videre.

Det spekuleres i at informasjonen som er tappet fra RSA kan gjøre det enklere for kriminelle å komme forbi sperrene i SecurID, for eksempel ved å gjøre det lettere for dem å gjette seg til passord. I så fall vil de kunne opptre som legitime brukere, med alt det innebærer av ondskapsfulle muligheter.

Til toppen