Hirdetés

RSA: nem hibáztunk, de cseréljük a kompromittálódott tokeneket

A márciusban crackertámadás áldozatául esett RSA vezetője három hónap után nyilvánosan elismerte, hogy a cég termékének, az azonosított hálózati belépést lehetővé tevő SecurID technológiájának a behatolók által megszerzett információi veszélyeztethetik ügyfeleik biztonságát, ezért mindazoknak, akik ezt kérik tőlük, kicserélik a tokeneket. (A SecurID egy kétfaktoros autentikációs rendszer: minden felhasználói fiók hozzá van kapcsolva egy kódgenerátorhoz, egy tokenhez, mely véletlenszerűen generál 30-60 másodpercenként egy számsort, és a jelszó, valamint az azonosító mellett ennek ismerete is szükséges az adott hálózatba való belépéshez. Az adatok összehangolását egy autentikációs szerver végzi, a teljes folyamatot pedig az RSA saját fejlesztésű programja vezérli. Feltételezések szerint a crackerek erről a szoftverről szereztek meg lényeges adatokat, melyek segítségével érvényes belépési kódokat tudnak előállítani.)

Hirdetés

Art Coviello nyílt levélben fordult az érintettekhez, ám ebben érezhetően csak korlátozott felelősségvállalással találkozhatunk, a tőlük ellopott információk minőségéről nem nyilatkozik, és a bocsánatkéréssel is meglehetősen szűken bánik az elmúlt hetekben sokat kritizált cégvezető, annyira, hogy az „elnézést” vagy a „sajnáljuk” szót egyszer sem írja le.

Coviello végre elismeri, hogy (amint azt sokan sejtették, sőt biztosra vették) a hadiipari megavállalat, a Lockheed Martin elleni minapi támadást az RSA-tól megszerzett információk segítségével hajtották végre. Ám mindezt meglehetős furcsa módon teszi meg: először is igyekszik összemosni az elmúlt hetek alapvetően különböző jellegű kibertámadásait (Sony, Google, Nintendo), láthatóan azért, hogy így állítsa be kevésbé súlyosnak cége kompromittálódását – meglehetősen sikertelenül –, majd kijelenti: „meg tudjuk erősíteni, hogy az RSA-tól márciusban megszerzett információkat egyik elemként felhasználták egy, a Lockheed Martin ellen intézett széles körű támadáshoz”, majd hozzáteszi, hogy a hadiipari beszállító vállalat szerint a támadás sikertelen volt. Ezek után aláhúzott szöveggel jelzi Coviello, hogy a Lockheed Martin elleni támadás nem azt jelzi, hogy az RSA SecurID technológiájának használata kockázatos vagy veszélyes lenne. Nem, írja, a technológia biztonságos.

A három hónapos késlekedés miatt kissé ingerült felhasználók valószínűleg attól sem lesznek boldogok, hogy a cégvezető ezek után sem vállalja nyíltan a felelősséget, amikor arról ír, hogy szerintük termékük minőségben a legjobb a piacon, ám az olyan kifinomult támadások, mint például a Lockheed Martin elleni, megijeszthetik a felhasználókat (egészen pontosan így hangzik ez a páratlan megfogalmazású szöveg: „may reduce some customers’ overall risk tolerance.”)

Ezek után felajánlja az aggódó ügyfeleknek, hogy kérésükre kicserélik a tokeneket, illetve szakmai tanácsadással, további biztonsági szolgáltatásokkal segítik őket. A levél zárásaként pedig mantraszerűen sorolja fel (jövő időben: „we will…”), hogy milyen lépéseket tesznek, milyen fejlesztéseket hajtanak végre annak érdekében, hogy ügyfeleik elégedettségét elérjék. Coviello arról nem nyilatkozott, hogy mennyibe is kerül majd a cégnek a becslések szerint 40 millió token cseréje.

Hirdetés

  • Kapcsolódó cégek:
  • EMC

Azóta történt

Előzmények