החור בסוליית הסנדלר

יונתן קורפל עם שתי הערות מקוריות בנושא הפריצה למערכות RSA

השבוע דווח על הפריצה למערכות RSA, חטיבת האבטחה של EMC. רוב הערפל סביב הפרשה התקדימית אמנם טרם התפזר, אולם כבר עתה ראוי להתייחס גם אל ההשלכות העתידיות שלה, להיבטים שהמקרה משמש בסיס להצפתם לדיון עקרוני. ככל שיתברר שהפורצים חדרו עמוק יותר למערכת, כך עלולות התוצאות להיות משמעותיות יותר וחדות יותר.

הערה ראשונה נוגעת לתפישה של הזיהוי וההרשאה במערכות המידע. בראשית, הכול היה מושתת על שכבה אחת של הזדהות אישית כמוסה. שם המשתמש, ואחר כך גם סיסמתו, נועדו לאפשר גישה מאובטחת אל מאגרי המידע של הארגון. עם הזמן, התברר שבמקרים רבים, אין די ברובד זה. במערכות לא מעטות ניתן לפצח, לנחש, לדלות או לגנוב את הקוד הסודי בקלות יחסית. כך נוצר הרעיון של הוספת נדבך נוסף, כזה שלא גלוי אפילו למשתמש. הרעיון הוליד התקן המכונה Token, שמשלב חומרה ותוכנה. אמצעי זה מאפשר יצירת קוד שמזהה עצמו.

חברת RSA הפכה לאחת המובילות בתחום. במוצר הקשור לפרשה, SecureID, היא הפגינה תחכום. האמצעי הקטן אפשר לכאורה כניסה מאובטחת ברמה גבוהה למערכות. אל השם והסיסמא שהקליד המשתמש, הוסיף המתקן באופן אוטומטי קוד נוסף, בעל תוקף חד פעמי, שנבחר ללא ידיעת המשתמש ובצורה חסויה. רק השילוב של פרטי המשתמש שהוזנו על ידו עם הזיהוי הפיזי החד ערכי של ההתקן, ובתוספת הקוד החד-פעמי שיוצר על ידי אלגוריתם סודי, אפשרו את הגישה. הכול נראה ורוד, עד שהשבוע נאלץ יושב ראש EMC לדווח על פריצה למערכות של מומחי ההגנה, בכבודם ובעצמם.

במקרה שלפנינו נתגלה חור בסוליית הסנדלר. החברה ההמומה הודתה, כי נפגעה מ-"מתקפת סייבר מתוחכמת באופן קיצוני, תקפה שהיא בחזקת איום מתקדם ומתמשך". לא ברור מה בדיוק השיגו ההאקרים שחדרו למערכות החברה. אם שמו ידם על האלגוריתם מייצר הקוד החד פעמי ועל רשימות מספרי הזיהוי של ההתקנים, הרי שעיקר מרכיבי הרובד השני בהגנה קרסו. הארגונים שבחרו בטכנולוגיה זו נותרו כעת עם הרובד הראשון – הסיסמה האישית בלבד. זו שהשימוש בה אולי נעשה פחות מוקפד, בשל העובדה שסמכו על הנדבך השני יתר על המידה.

ראוי לשים לב לרעיון הבא: שם המשתמש והקוד הסודי קלים יותר לפצח, אולם הם דורשים מהעבריין לחשוף סיסמה אחרי סיסמה – מלאכה סיזיפית לכל הדעות. במקרים קיצוניים, פורצים יכולים לכל היותר לחשוף סיסמאות של ארגון שלם. לעומת זאת, לפיצוח של שכבת ה-Token יש מאפיינים הפוכים. קשה בהרבה לבצעו, אולם משהיה פיצוח, כל ההמונים שהתבססו עליו בכל הארגונים כולם איבדו יחדיו את ההגנה של שכבה זו. בחישובי תוחלת, אני כלל לא בטוח איזו שכבת הגנה נותנת לכן תוצאה טובה יותר למשתמש. שכבת הסיסמה מוצאת את עצמה שוב כנדבך חשוב בהרבה ממה שהתייחסו אליה עד השבוע החולף, על כל המשמעויות המתחייבות.

הערה נוספת נוגעת להיבטים העסקיים. הבנת עומק החדירה וסתימת הפרצות עלולה להתברר, בתסריט קיצוני, כבעיה קטנטנה יחסית. ראשית, עולה שאלת האחריות. האם חברה שמוכרת פתרון אבטחה שהפך לכלי ריק, בשל בעיה באבטחתה שלה, צריכה לשאת בתוצאות? זו מכרה את מוצריה לרבבות ארגונים ברחבי העולם, בהם אלפים רבים של בנקים וגופי ממשל מרכזיים. מספר העמדות המוגנות על ידי האמצעי הנדון מוערך בכ-40 מיליון. נטילת האחריות עלולה להיות כרוכה בסכומי עתק, אולם, עם כל היקפה, ייתכן שגם היא איננה אלא כחלק קטן מהבעיה. אם עומק החדירה היה אכן רב, יהיה צורך לא רק להחליף פיזית את ההתקנים, אלא אולי אף לפתח מתקנים אחרים. זה עלול להסתכם בסכומי כסף ובתקופת פיתוח שיאתגרו כל הנהלה, תהיה מוצלחת ככל שתהיה.

לא מפתיע לכן שהתמונה מתבהרת באיטיות יחסית, כמעט כמו במקרה של הכורים שקרסו ביפן. לחברה הנפגעת חשוב לברר לא רק את שקרה, אלא גם את ההשלכות לעתידה. אלה עלולות להיות בהחלט לא פשוטות.

תגובות

(11)

כתיבת תגובה

האימייל לא יוצג באתר. שדות החובה מסומנים *

אין לשלוח תגובות הכוללות דברי הסתה, דיבה, וסגנון החורג מהטעם הטוב

  1. א.

    שקוף שתגובה 10 היא של מישהוא מחברת אר.אס.אי אבל אי אפשר להיתעלם שהחדירה היתה ושהיא נתנה מכה קשה לאבטחה שהחברה מוכרת כל היתר זה תירוצים והסברים שלא משנים את העובדות גם את העובדה שהחברה משתדלת להחביא את העובדות ולשטשט אותם

  2. ש...

    כמובן כמו לכל כתבה שמתפרסמת ישנן עובדות נכונות ופחות נכונות, את הסיבות לכך אין טעם לציין, הן דיי מובנות (כוונתי לכתבה הפריצה למערכות RSA) לRSA פתרונות רבים לטפל בתקרית. RSA הינה חברה מנוסה ומובילה בתחומה. ברשותה פתרונות תוכנה רבים המחליפים את הטוקן (זוהי רק דוגמה לפיתרון שלא בהכרח ישנו צורך להשתמש בו בעקבות התקרית) כאמור RSA חברה מצויינת ותטפל בתקרית זו ביעילות ובמהירות ! מקרים כגון אלה קרו בעבר, קורים וימשיכו לקרות, מקרה טבעי לעולם התוכנה והמחשבים. חברה חזקה כמו RSA תעבור זאת במהרה, אין סיבה לחשש.  

  3. משי

    מעניין מי משתמש בטוקנים שלהם בארץ

  4. ש.

    ממתינים לראות ההתפתחויות בינתיים דממת אלחוט

  5. אמיר

    ברור ש- RSA כל כך הצליחה. היא מכרה לחברות לא רק בטחון אלא היא מכרה להם את הזכות להיות באופוריה לגבי אבטחת המידע שלהם.

  6. בינג

    בסך הכל המוסדות הפיננסיים מתפקדים יפה למרות כל האקרים

  7. ג'י-מי

    וואו. הם בהחלט עומדים בפני מצב בכלל לא פשוט.

  8. קוביה

    צריך לכתוב על זה פרק של ג'יימס בונד

  9. איסר

    פיצוח ה-token דומה למציאת מפתח המסטר הפיסי בארגון פיסי. יותר קשה לפתוח חדר אחר חדר גם אם המפתח לכל חדר הוא פשוט יחסית. אבל מהרגע שמפתח המסטר בידך כל החדרים ייפתחו בקלי קלות. מעניין מה רצו להוכיח הפורצים .

  10. ספאזיס

    מהומה רבה על לא דבר עוד כמה ימים ישכחו והכל יעבור

אירועים קרובים