28.5.11

Preko RSA do zvijezda!

Za ovaj napis sam namjeravao izabrati jednu zanimljivu temu koja bi nadoknadila moju inertnost u objavi tekstova u prvih nekoliko mjeseci. Tema je morala na određeni način ilustrirati zbivanja u informacijskoj sigurnosti tijekom ovog razdoblja. Izbor je pao na slučaj kompromitacije američke tvrtke RSA, odnosno na krađu znanja i povjerljivih informacija o funkcioniranju sustava SecurID. Za neupućene, SecurID je tehnologiji koja omogućuje autentikaciju korisnika informacijskih servisa jednokratnim lozinkama koje se generiraju namjenskim uređajima - "tokenima" (veliki broj naših korisnika Internet bankarstva koristi sličnu tehnologiju prilikom prijave na web servere svojih banaka).

Naime, u ožujku ove godine nepoznati napadači (za koje se pretpostavlja da dolaze iz Kine) proveli su sofisticirani Advanced PersistentThreat (APT) kojima se prije puno mjeseci ciljalo na Google i druge značajne američke tvrtke. Napadaći na tvrtku RSA, kako se tvrdi, došli su do povjerljivih podataka tvrtke, uključujući i značajne informacije o funkcioniranju SecurID tehnologije. RSA je, naravno, pokušao umanjiti procjene o nastaloj šteti.

No, prigodno za ovaj tekst kojim želim potvrditi kontinuitet ovog bloga, napad iz ožujka nepsoredno se veže za friške slučajeve iz svibnja.

Prije nego što nastavim priču, vrijedi pogledati kako je tekao napad na RSA.

Napadači su u prvoj fazi napada identificirali neke zaposlenike tvrtke RSA i prema njima usmjerili mail poruke s posebno konstruiranom xls tablicom. Ova tablica je sadržavala unikatni maliciozni kod koji je iskorištavao zero-day ranjivost u programu Adobe Flash (Adobe je tek kasnije objavio popravak za ovu ranjivost). Uspješnom realizacijom prve faze napada, napadači su ovladali napadnutim računalima, instalirali program za udaljenu administraciju te nastavili temeljito pročešljavati dostupna računala. Ciljali su na ponajprije na podatke o korisničkim računima koji bi im omogućili daljnju propagaciju mrežom tvrtke RSA. I ta faza je bila uspješna pa je napad uspješno, sa stajališta napadača, završio prebacivanjem velikih broja datoteka na udaljene servere FTP protokolom.

RSA je priznao da napad može kompromitirati uspješnost SecurID tokena i dao je preporuke svojim korisnicima o dodatnim sigurnosnim mjerama koje preporučuje u ovoj situaciji. Radilo se uglavnom o standardnim proceduralnim preporukama koje se primjenjuju u kontroli pristupa.

Sada se vraćamo u svibanj.

Cijeli bi slučaj RSA možda i pao u zaborav no upravo je objavljena vijest da je došlo do napada na tvrtku Lockheed Martin, jednog od vodećih imena američke vojne industrije. Smatra se da su napadači kompromitirali VPN pristup mreži ove tvrtke na kojem se udaljeni korisniciautenticiraju SecurID tehnologijom. Pogađate, ovaj je napad neposredno omogućen znanjem o funkcioniranju SecurID tehnologije do kojeg su napadači (ili njihove kolege) došli u svibnju.

Kada je ovaj tekst bio pred završetkom, saznalo se da su i druga dva velika proizvođača iz segmenta vojne industrije također napadnuta na sličan način: L-3 Communications i Northrop Grumman. Prema nekim izjavama koje su procurile iz ovih tvrtki, napadi i neposredna reakcija na nakon detekcije napada uzrokovala je izvanredno stanje u ovim tvrtkama.

Za sada nije objavljeno na koji je način kompomitirana SecurID tehnologija (osim što je izvjesno da su neposredno napadnuti sustavi za udaljeni pristup mrežama ovih vodećih imena američke vojne industrije), niti je objavljeno kakve su posljedice ovih napada.

Osim što je bio sjajna ilustracija APT prijetnji, napad na RSA je značajan zbog činjenice da je ovim napadom pribavljeno značajno znanje o funkcioniranju do tada, smatralo se, sigurne tehnologije, što je jamčilo uspjeh kod teških ciljeva koji obično takvu tehnologiju koriste.

U svijetu je 40 milijuna korisnika SecurID tehnologije. Jesu li velika imena vojne industrije jedine žrtve?

Nema komentara: