RSA SecurID -murto
RSA SecurID -murto oli kyberhyökkäys, joka kohdistui RSA Security -yritykseen. Murron seurauksena RSA Security vaihtoi kaikki yli 40 miljoonaa SecurID-laitetta. Murron seurauksena muun muassa Lockheed Martinille yritettiin hyökätä.[1] Myös Northrop-Grumman oli hyökkääjien tavoitteena.[2]
SecurID on laite, jota käytetään kaksivaiheiseen tunnistautumiseen. Jokaisella käyttäjätunnuksella on "token", ja jokainen token tuottaa jaksottain vaihtuvan numeron. Kirjautumisen yhteydessä käyttäjä syöttää käyttäjätunnuksen, salasanan sekä vaihtuvan numeron. Tunnistautumispalvelin tietää minkä numeron pitäisi näkyä ja käyttää tätä varmistamaan, että käyttäjällä on token hallussaan. Numeroiden vaihtuminen käyttää RSA Securityn kehittämää algoritmia, jonka alustamiseen käytetään siemenarvoa. Jokaisella tokenilla on eri siemenarvo, joka on liitetty käyttäjätunnukseen. Jos algoritmi ja siemenarvo tunnetaan tokenista tulee hyödytön, koska näytettävä numero voidaan laskea samalla tavalla kuin palvelinkin sen laskee.[1]
Hyökkääjät käyttivät RSA Securityyn kohdennetua sähköpostihyökkäystä, jolla he asensivat takaoven. Takaoven kautta hyökkääjät saivat pääsyn SecurID-tietoihin, joita he voivat käyttää hyökkäykseen varsinaiseen kohteeseen. Hyökkäyksessä sähköpostitse lähetettiin liitetiedosto, joka avautui Exceliin ja suoritti siinä sisällä olevan Flash-tiedoston. Flash-tiedosto käytti hyväkseen tietoturva-aukkoa, jonka kautta se asensi Poison Ivy -takaoven. Takaoven kautta hyökkääjä sai täyden pääsyn käyttäjän koneelle sekä pääsyn verkkolevyille.[2] Varsinaisten laitteiden valmistus oli erotettu muusta verkosta, mutta laitteiden siemenarvot kirjoitettiin CD-ROM-levyille asiakkaille lähetettäväksi yhdellä koneella. Siemenarvot säilytettiin varmuuskopiona palvelimella asiakkaiden ongelmien varalta, ja hyökkääjät pääsivät kopiomaan siemenarvoja palvelimelta itselleen.[3]
Murron sanotaan olleen herätys valtioiden sponsoroimien murtojen uhalle. Myöhemmin SolarWinds-murto herätti huomion toimitusketjuhyökkäyksien uhasta.[3]
Lähteet
[muokkaa | muokkaa wikitekstiä]- ↑ a b RSA finally comes clean: SecurID is compromised arstechnica.com. 7.6.2011. Viitattu 5.4.2024. (englanniksi)
- ↑ a b The file that hacked RSA: how we found it archive.f-secure.com. 26.8.2011. Viitattu 5.4.2024. (englanniksi)
- ↑ a b Andy Greenberg: The Full Story of the Stunning RSA Hack Can Finally Be Told wired.com. 20.5.2021. Viitattu 5.4.2024. (englanniksi)