Tulostusversio

3/2011

Tietoturva: Ei aivan tavallinen tietomurto

Teksti: Antti Kiuru

Tietoturvayhtiö RSA:ta vastaan tehdyn tietomurron vaikutukset ovat huomattavasti tavanomaista vakavammat.

Maaliskuussa tietoturvatuotteita valmistava yhtiö RSA ilmoitti joutuneensa tietomurron uhriksi. Tekijät olivat päässeet RSA:n sisäverkkoon tekemällä kohdistetun hyökkäyksen yrityksen työntekijöitä vastaan. Se tapahtui samalla tavalla kuin valtaosassa nykyisistä hyökkäyksistä, lähettämällä työntekijöille sähköpostissa hyväksikäyttökoodia sisältävä liitetiedosto.

Itse hyökkäyksessä ei ollut mitään uutta. Sen vaikutukset kuitenkin poikkesivat useista muista vastaavanlaisista. RSA nimittäin valmistaa SecurID-tuotteita, joita käytetään vahvaan tunnistautumiseen yrityksissä ja valtionhallinnoissa. Maailmanlaajuisesti SecurID-tuotteita on yli 40 miljoonalla käyttäjällä muun muassa puolustusteollisuudessa, pankeissa ja muissa kriittisen infrastruktuurin toimijoissa.

Tyypillisesti RSA:n SecurID-tuotteita käytetään niin sanotussa avainlukugeneraattorissa. Se on avaimenperän kokoinen laite, jonka ruudulla näkyy kuusinumeroinen numerosarja. Numerosarja vaihtuu uuteen minuutin välein. Numerosarja saattaa vaikuttaa satunnaiselta, mutta se muodostetaan RSA:n omalla algoritmilla, eli numerot noudattavat tiettyä kaavaa.

Avainlukugeneraattorissa toteutetaan vahvan tunnistautumisen kantavaa ajatusta: käyttäjä tunnistetaan salasanan ja käyttäjätunnuksen lisäksi avainlukugeneraattorin ja sen sisältämän tiedon avulla. Tunnistautumiseen tarvitaan siis jotakin, minkä vain käyttäjä tietää sekä jotakin ainutlaatuista, mitä käyttäjällä on.

Syynä ajattelemattomuus tai tekninen virhe

Kun avainlukugeneraattori annetaan työntekijälle, muutama sen generoima numerosarja ja avainlukugeneraattorin tietoja syötetään yrityksen tiloissa olevalle RSA:n palvelimelle. Palvelin on sen jälkeen synkronoitu avainlukugeneraattorin kanssa ja ikään kuin "tietää" kunkin sille syötetyn avainlukugeneraattorin senhetkisen numerosarjan.

Tietomurron tehneet rikolliset saivat arvioiden mukaan haltuunsa avainlukugeneraattoreiden käyttöönotossa tarvittavia tietoja. Kun yritys saa sarjan uusia avainlukugeneraattoreita, niiden ja palvelimen synkronoimiseen käytetään niin sanottua siemenlukutiedostoa, joka haetaan RSA:n verkosta.

RSA ei ole kertonut tarkalleen, mitä tietoja varkaat saivat haltuunsa, mutta on oletettu, että kyseessä olisivat juuri siemenlukutiedot ja muita tietoja, joilla SecurID-laitteita voitaisiin yksilöidä niitä tilanneisiin yrityksiin. Näiden tietojen joutuminen varkaiden käsiin mahdollistaisi avainlukugeneraattorien kloonaamisen.

Jälkiviisaana voisi todeta, että siemenlukuja sisältäviä tiedostoja ei koskaan olisi saanut säilyttää verkossa, vaikka niiden hakeminen sieltä käyttöönottovaiheessa varmaan tuntuukin helpolta. Tiedostoja ei nimittäin ilmeisesti ole poistettu sen jälkeen kun asiakkaat ovat ne hakeneet omille palvelimilleen. Tämän ajattelemattomuuden tai teknisen virheen seurauksena RSA on ilmoittanut vaihtavansa kaikki avainlukugeneraattorit uusiin.

Tunnuksille on kysyntää

Jätetään kuitenkin hetkeksi uhkakuvien maalailu ja katsotaan asiaa hieman tarkemmin. Murtautujat ovat saaneet haltuunsa siemenlukutiedostoja ja mahdollisesti myös tietoja, joilla SecurID-laitteet voidaan yksilöidä niitä tilanneisiin yrityksiin. Pelkän avainlukugeneraattorin kloonaus ei kuitenkaan anna viholliselle avaimia kaupunkiin. Avainlukugeneraattoreita käytettäessä käyttäjällä on myös henkilökohtainen PIN-koodi (jonka käytön yritys voi tosin kytkeä pois päältä), käyttäjätunnus ja salasana yrityksen verkkoon. Murtautujan tarvitsisi siis tietää myös nämä kolme tietoa sekä osata avainlukugeneraattorin kloonaus ja synkronointi.

Uhka vaikuttaisi siis melko vähäiseltä − kunnes muistetaan, että näppäinlyöntejä tallentavat haittaohjelmat ovat internetin arkipäivää. Rikolliset varastavat verkon käyttäjiltä luottokorttinumeroita ja pankkitunnuksia näppäinlyöntejä tallentamalla, ja samalla tavalla voi varastaa myös muita selaimen eri kenttiin kirjoitettavia tietoja. Tunnuksesi ovat rahanarvoista tavaraa, ja niiden markkinat löytyvät verkosta.

Joku voisi myös ajatella, että uhka ei kosketa omaa yritystä tai oman yrityksen työntekijöitä, koska ”meillä ei ole mitään kiinnostavaa tietoa”. Väärin ajateltu. Tieto, olkoonkin omasta mielestä kuinka vähäpätöistä tahansa, kiinnostaa aina jotakin toistakin. On tietenkin ilmiselvää, että juomapakkauksia valmistavan yrityksen tietojen varastaminen verrattuna esimerkiksi puolustusteollisuuden tai valtionhallinnon salaisuuksiin on vaikutuksiltaan eri skaalalla. Tiedolle on markkinoita, markkinat täytyy vain ensin löytää.

Avainlukugeneraattorit kannattaa vaihtaa

Mitä RSA:lta varastuilla tiedoilla sitten tehtiin? Yhdysvaltalainen puolustusteollisuuden yritys Lockheed-Martin ilmoitti huhtikuussa torjuneensa tietomurtoyrityksen, jossa sen mukaan käytettiin hyväksi RSA:n murrossa varastettuja SecurID-tietoja.

Juuri tämän tapauksen julkitulon jälkeen RSA ilmoittikin vaihtavansa avainlukugeneraattorit uusiin. Lisäksi siemenlukujen toimittamiseen SecurID-asiakkaille on tehty muutoksia. Nykyisin niitä ei enää voi noutaa verkosta, vaan ne toimitetaan toisella tapaa asiakkaille.

Tietoturvaviranomaisena olemme sitä mieltä, että asioita ei pidä jättää sattuman varaan. Sen vuoksi olemme kehottaneet vaihtamaan avainlukugeneraattorit uusiin heti kun mahdollista.

----

[KIRJOITTAJA]

Antti Kiuru on tietoturva-asiantuntija Viestintävirastossa toimivassa kansallisessa tietoturvaviranomaisessa CERT-FI:ssä.

Anna palautetta

Kommentit (0 kpl)

Ei kommentteja.

 

Kommentoi








Kyllä


* = Pakollinen tieto
 

 

tietosuoja_logo_2013.gif

 

 

 

Vastaava toimittaja
Hanna Tamminen


 


 

 

 

 

Julkaisijat
Tietosuojalautakunta
Tietosuojavaltuutetun toimisto
Viestintävirasto
Patentti- ja rekisterihallitus



 

 

 

 

 

 

 

Rekisteriselosteet »

Tietoa evästeistä »

 

 

 

Tietosuoja-verkkojulkaisua julkaistaan Tietosuoja-lehden yhteydessä. Yhdessä lehti ja verkkojulkaisu tutustuttavat tietosuojan normeihin ja käytäntöön, tietoturvaan ja viestinnän luottamuksellisuuteen. Tarkoituksena on ohjata hyvään rekisterinpitoon sekä tietoturvallisuuden ja viestinnän luottamuksellisuuden varmistamiseen.