RSA-hackat och RSA SecurID är inte längre så säkert

”Att jag kunde vara så dum”, så sa en gång en överstelöjtnant i Försvarsmakten efter att militära säkerhetstjänsten hade hittat ett stort antal Kvalificerat Hemliga dokument som han hade lagrat på ett öppet nätverk i Försvarsmakten. Och dumt var det väl, men han hade sannolikt inte tillräckliga kunskaper om reglerna för i vilka system man får lagra Kvalificerat Hemliga dokument.

Några som däremot helt klart känner till vilken information man bör lagra på vilken plats är det amerikanska IT-säkerhetsföretaget RSA.
RSA blev nyligen utsatt för en avancerad hackingattack, där angriparen lyckades stjäla kritisk information som kan användas för att kringå RSA:s produkt SecurID. SecurID är en tvåfaktor-autentiseringslösning. RSA SecurID hårdvarudosa används av 40 miljoner användare i världen och deras motsvarande mjukvarulösning av 250 miljoner användare!
För att förstå lite mer vilken betydelse som hackerattacken mot RSA har behöver jag först förklara hur SecurID fungerar. SecureID används för tvåfaktor-autentisering av användare i IT-system. För att autentisera sig använder användare både ett lösenord och ett sexsiffrigt nummer som genereras av SecurID dosan. Var 60:e sekund genereras ett nytt nummer utifrån en avancerad hemlig algoritm, numret måste matcha med det nummer som är genererat på servern. På så sätt verifieras att användare både kan lösenordet samt är i besittning av dosan.

Varje dosa har ett unikt 128-bitars frötal som startar sekvensen av nummer. Varje användarkonto på servern har också detta frötal, på så sätt räknas numret fram på mot dosans nummer klllcoh kan matchas.as numret fram psekvensen av nummer.om är genererat på servern. På så sätt verifieras att samma sätt på servern och kan matchas mot dosans nummer.

Det är lite oklart vad hackarna har stulit från RSA:s servrar. RSA har ännu inte velat tillkännage detta. Sannolikt har man dock kommit över frötalen till varje dosa. Det innebär att det är ganska lätt att räkna ut var i sekvensen man är någonstans om man kan snappa upp ett inloggningsförsök. Kanske har man också vem som har vilken dosa, eller åtminstone på vilket företag vilken serie av dosor finns.

Uppenbart är dock att RSA:s servrar varit kopplade mot Internet. Vilket de inte skulle ha varit. Den här typen av information skall lagras offline. Jag kan inte se nån rimlig anledning till att denna information skulle behöva lagras med Internetaccess, snarare tvärtom.

RSA har hittills varit mycket sparsamma med information till sina kunder om vad attacken innebär och hur det påverkar säkerheten i SecurID. Det är en naturlig reaktion när något sådant här inträffar, att inte säga mer än nödvändigt. Det är dock inte speciellt klokt. Företag som RSA:s största tillgång är kundernas förtroende. För att någorlunda kunna behålla det är öppenhet den enda lösningen.

Vad kan vi då lära oss av denna attack?
Skyddsvärd information skall inte lagras på system med koppling, om det inte behövs. Jag säger det igen: skyddsvärd information skall inte lagras på system med koppling mot Internet (jag vet det är lätt att säga, men svårt att upprätthålla).
När man råkar ut för en sådan här incident som leverantör, skall man ha öppenhet som ledstjärna. Endast på det sättet kan man behålla en del av förtroende från kunderna.