Background Print only logo
Viestintäviraston etusivulle
Etusivu | Varoitukset | Tietoturva nyt! | Haavoittuvuudet | Ohjeet | Katsaukset | Palvelut | Esitykset |

CERT-FI

PL 313
00181 Helsinki
Puh: 09 6966 510
Fax: 09 6966 515

Salausavaimet

Viestintävirasto

Itämerenkatu 3 A
00180 HELSINKI
Puh: 09 6966 500
Fax: 09 6966 410

Tarkat yhteystiedot

Tietoa evästeistä

CERT-FI Facebookissa

 Etusivu > Varoitukset > 2011 > CERT-FI varoitus 02/2011

CERT-FI varoitus 02/2011

10.6.2011

RSA SecurID-laitteiden tietoturva heikentynyt tietomurron takia

RSA SecurID-laitteiden tietoturva on heikentynyt tietomurron takia. Käyttäjien tulee vaihtaa tokenien PIN-koodit ja organisaatioiden tulee seurata mahdollisia murtautumisyrityksiä. SecurID-laitteet suositellaan vaihdettavaksi uusiin heti kun mahdollista. RSA on käynnistänyt vaihtoprosessin.

Tietoturvayhtiö RSA vaihtaa SecurID-avainlukugeneraattorit (tokenit) uusiin maaliskuussa tapahtuneen tietomurron takia. Tietomurrossa RSA:lta on varastettu tietoja, jotka vaikuttavat SecurID-tuotteilla suojattujen järjestelmien tietoturvallisuuteen. Näitä tietoja on käytetty hyväksi puolustusteollisuuden yrityksen Lockheed-Martinin tietojärjestelmiin kohdistetussa murtoyrityksessä.

RSA ei ole kertonut tarkasti, mitä SecurID-tuotteisiin liittyviä tietoja on varastettu. Luultavasti varkaat ovat onnistuneet viemään ainakin tiedot laitteet yksilöivistä siemenluvuista. Siemenlukuja käytetään avainlukugeneraattorin satunnaiselta näyttävien numerosarjojen luomiseen RSA:n algoritmilla. Jos siemenluku on joutunut sivullisen haltuun, sen avulla voi laskea käyttäjäkohtaiset numerosarjat ilman SecurID-tokenia. Järjestelmään tunkeutuakseen pitää lisäksi tietää käyttäjän käyttäjätunnus ja henkilökohtainen PIN-koodi, sekä synkronoida numerosarjat autentikointipalvelimelle. PIN-koodin käyttäminen järjestelmissä ei ole pakollista eikä sitä ole käytössä kaikissa SecurID:tä käyttävissä organisaatioissa.

SecurID-avainlukugeneraattoreita (ns. token) käytetään vahvaan tunnistamiseen, kun kirjaudutaan organisaatioiden palveluihin. Laite luo uuden numerosarjan esimerkiksi kerran minuutissa. Kirjautuakseen SecurID:llä suojattuun järjestelmään täytyy käyttäjän syöttää käyttäjätunnus, henkilökohtainen salasana ja vaihtuva, generaattorin näyttämä numerosarja. SecurID-laitteita on käytössä maailmanlaajuisesti noin 40 miljoonaa. Näiden lisäksi noin 2,5 miljoonaa käyttäjää käyttää sovelluspohjaista ratkaisua.

Huhtikuun 2011 jälkeen valmistetut SecurID-laitteet ovat todennäköisesti turvallisia käyttää. Niiden siemenlukuja ei ole varastettu tietomurrossa.

VAROITUKSEN KOHDERYHMÄ:

  • RSA SecurID:llä järjestelmänsä suojaavat organisaatiot
  • RSA SecurID -avainlukugeneraattorien haltijat

RATKAISU- JA RAJOITUSMAHDOLLISUUDET:

Päivitys 1.7.2011:

RSA vaihtaa kaikki ennen 23.3.2011 päivätyt SecurID-avainlukugeneraattorit uusiin Suomessa. Sen jälkeen päivättyjä avainlukugeneraattoreita ei tarvitse vaihtaa. CERT-FI:n tietojen mukaan RSA on ollut yhteydessä suurimpiin asiakkaisiinsa. Jos SecurID-avainlukugeneraattorit on hankittu suoraan RSA/EMC:ltä tai heidän kumppaniyritykseltään, eikä yhteydenottoa ole tullut, on yrityksen oltava itse aktiivinen vaihtoprosessin alkuun saattamiseksi. Osa suomalaisten asiakkaiden tokeneista on jo vaihdettu. Koko prosessi tulee kuitenkin kestämään useita kuukausia.

Ohjeet SecurID:tä käyttäville organisaatioille


SecurID-laitteet suositellaan vaihdettavaksi uusiin heti kun mahdollista. RSA on käynnistänyt vaihtoprosessin.

Mahdolliset järjestelmään murtautumisyritykset voi havaita tarkkailemalla järjestelmän lokitietoja ja etsimällä sellaisia toistuvia epäonnistuneita kirjautumisyrityksiä, joissa laitteen luoma numerosarja on oikein, mutta PIN-koodi väärin. Järjestelmiin on syytä asettaa raja sille, kuinka monta kertaa PIN-koodin voi syöttää väärin ennen kuin laite ja siihen liittyvä käyttäjätunnus lukitaan. PIN-koodin tulee olla riittävän pitkä, vähintään kuusi mutta mieluummin esimerkiksi kahdeksan merkkiä.

Murtautumisyrityksistä voivat kertoa myös kirjautumisyritykset samalla SecurID-laitteella eri IP-osoitteista lyhyen ajan sisällä. IP-osoitteen perusteella voi myös pyrkiä selvittämään kirjautujan maantieteellisen sijainnin.

Murtautumisyrityksiin voi viitata seuraavien virhekoodien normaalia suurempi määrä ACE/RSA-palvelimella, erityisesti jos ne kohdistuvat moneen eri käyttäjään:

Virhekoodi AUTH_FAILED_BAD_PIN_GOOD_TOKENCODE
Käyttäjä on antanut väärän PIN-koodin, mutta oikean tokenin näytöllä näkyvän avainluvun.

Virhekoodi AUTH_PRINCIPAL_RESOLUTION / AUTH_ALIASES_NOT_FOUND
Käyttäjä on pyrkinyt kirjautumaan väärällä käyttäjätunnuksella.

RSA tarjoaa Authentication Manager -palvelinten käyttäjille asiakasportaalissaan SecurCare Onlinessä parhaita käytäntöjä, sekä vinkkejä tietomurtoyritysten ja poikkeustilanteiden havaitsemiseksi.

Uuden avainlukugeneraattorierän aktivointiprosessi tulee tehdä huolellisesti ja välttää siihen liittyvien tietojen joutumista sivullisten tietoon. SecurID-laite-erän avainluvut sisältävää seed-tiedostoa ei tule säilyttää internetiin kytketyssä tietokoneessa. Seed-tiedoston syöttö RSA-autentikointipalvelimelle ja autentikointipalvelimen ylläpito tulisi tehdä vain tähän tarkoitukseen varatulta tietokoneelta. Mahdolliset tunnistetiedot, kuten sarjanumerolistat tai toimitusnumerot, tulee poistaa laatikoista laite-erän aktivoinnin jälkeen. Tämän lisäksi korkean turvallisuuden kohteissa on syytä harkita sarjanumeroiden hiomista pois laitteiden takaa.

Organisaatioiden on myös syytä varmistaa autentikointipalvelinten koskemattomuus erityisesti silloin, jos avainlukugeneraattoreita epäillään käytettävän yhtenä tietomurron välineenä. Julkisen verkon kautta saavutettavissa olevissa palveluissa on syytä tarkkailla käyttäjätunnusten kirjautumisvirheitä ja poikkeamia kirjautumisyrityksissä sekä harkita palvelun käytön rajoittamista IP-osoitteiden perusteella.

Ohjeet SecurID-laitteiden käyttäjille:


Kohtele SecurID-laitettasi kuin pankin tunnuslukulistaa. Sen tietoja, kuten sarjanumeroa, PIN-koodia tai sen luomia lukusarjoja ei tule antaa kyselijöille puhelimessa tai syöttää muihin kuin organisaation omiin järjestelmiin.

Järjestelmä ei kysy laitteen omaa sarjanumeroa kirjautumista varten.

Avainlukugeneraattoria tulee säilyttää siten, ettei sivullinen voi lukea kahta tai kolmea peräkkäistä laitteen luomaa numerosarjaa. Laitteen pitämistä esillä esimerkiksi kaulassa roikkuvan organisaation henkilökortin kanssa ei tämän vuoksi suositella.

Päivitys 16.12.2012:


Avainlukugeneraattorien vaihtaminen vielä kesken

CERT-FI:n huoltovarmuuskriittisille toimijoille tekemän kyselyn mukaan osa yrityksistä aikoo vaihtaa laitteet uusiin niiden luonnollisen vaihtumisen kautta vuoden 2012 ensimmäisen puoliskon aikana.

Osa fyysisiä avainlukugeneraattoreita käyttävistä yrityksistä on vaihtamassa laitteet ohjelmistopohjaiseen SecurID-ratkaisuun. Vuoden loppuun mennessä joko uusiin laitteisiin tai ohjelmistopohjaisiin ratkaisuihin vaihdettuja laitteita on arviomme mukaan noin kolme neljännestä.

LISÄTIETOA:

PÄIVITYSHISTORIA:

10.6.2011, kello 15.40: Julkaistu
1.7.2011, kello 15.24: Päivitetty tieto RSA:n vaihtoprosessista
27.7.2011, kello 10.05: Poistettu etusivulta
16.12.2011, kello 10.58: Lisätty tilannetieto

Sivua päivitetty 16.12.2011   Tulostusversio Tulostusversio