Tämän päivän isoja it-uutisia on uusien tietojen saaminen yhdysvaltalaiseen tietoturvayhtiö RSA:han keväällä kohdistuneesta tietomurrosta. Hiljattain julkisuuteen saatiin tietoa myös asevalmistaja Lockheed Martiniin kohdistuneesta tietomurrosta, jossa hyökkääjät käyttivät hyväkseen RSA:lta vuotaneita tietoja SecurID-tunnistautumisratkaisusta.

Nyt tiedetään, että RSA on ryhtynyt vaihtamaan vahvassa tunnistuksessa käytettäviä SecurID-avainlukugeneraattoreita eli ns. tokeneita.

SecurID:n murtaminen tarkoittaa vahvan tunnistautumisen muuttumista heikoksi – käyttäjätunnus-salasana-yhdistelmän kaltaiseksi – tunnistautumismenetelmäksi.

Mitä organisaatio voi nyt tässä tilanteessa tehdä?

1. SecurID:n tuomaa vahvaa tunnistusta käytetään laajasti VPN-yhteyksien tunnistamistapana. Kun vahvan tunnistuksen tuoma tietoturva häviää, on myös verkkoon pääseminen helpompaa. Yritysten tuleekin miettiä tietoturvallisuutta kehittäessään, mitä voisi tapahtua, jos ulkopuoliset pääsisivät käsiksi yrityksen tietoverkkoon. Riittääkö sisäverkon puolustus? Helpoin tapa pitää yllä sisäverkon tietoturvaa on huolehtia asiamukaisesta päivitysten hallinnasta. Tunkeutumisenestojärjestelmät eivät välttämättä havaitse normaalilta toiminnalta näyttävää hyökkäystä sisäverkossa – tietoturvatapahtumia on seurattava esimerkiksi lokienhallinnan ja hälytysten keinoin.

2. Tärkeänä työkaluna verkon turvan kartoituksena on verkkotapahtumien seuranta. On tiedettävä mitä organisaatiosi verkossa tapahtuu, jotta voidaan todeta verkon olevan turvassa. RSA SecurID:n osalta parasta, mitä verkon seurannassa voidaan tehdä on tarkkailla poikkeuksia verkon liikenteessä, sekä virheellisiä kirjautumisia, jossa avainlukugeneraattorin koodi on oikein, mutta PIN-koodi on väärä. Myös muiden kuin SecurID-tunnistusten virhetilanteita tulee seurata.

3. Salasanoihin ja PIN-koodeihin tulee kiinnittää tällaisessa poikkeustilanteessa riittävästi huomiota. Ennen kuin uudet, murtamattomat avainlukugeneraattorit on jaeltu käyttäjille, kriittisiä verkon osia suojaa käytännössä vain käyttäjätunnus ja PIN-koodi. Käyttäjiä tulee ohjeistaa pitämään hyvää huolta salasanoistaan ja heille tulee korostaa, ettei SecurID:een liittyvää PIN-koodia tule missään olosuhteissa kertoa ulkopuolisille. Myös mahdollisista urkintasivuista tulee varoittaa.

Kuten muutkin ohjelmistot myös tietoturvaohjelmistot vanhenevat eikä kalliidenkaan tietoturvaohjelmistojen elinkaari ole ikuinen. Siksi organisaation tietoturvaa onkin lähestyttävä kokonaisvaltaisesti.

Kirjoittaja Pietari Sarjakivi työskentelee tietoturvakonsulttina Nixun Build-yksikössä.

Työntekijämme vierailevat säännöllisesti luennoimassa tietoturva-alan tilaisuuksissa. Tässä kuussa nixulaisia oli puhumassa OWASP-järjestön Suomen paikallisjaoksen kevätkauden viimeisessä tilaisuudessa Helsingissä.

Ari Kesäniemen aiheena oli Mobile application threat analysis ja Nixu Open -yksikköä edustanut Juhani Mäkelä taas piti esityksen otsikolla Why Privacy Matters? – Some thoughts about privacy and mobile application security.

Esityksiin voit tutustua PDF-muodossa OWASP Helsinki -jaoksen sivuilla vaikket tilaisuuteen olisi päässytkään osallistumaan.

Esitykset ovat englanninkielisiä.

Mikä OWASP?

Verkkosovelluksien tietoturvaan keskittyneen, kansainvälisen vapaaehtoisjärjestö OWASP:n (Open Web Application Security Project) tarkoituksena on edesauttaa turvallisten sovellusten kehitystä ja ylläpitoa OWASP Helsinki Chapter -alajaos perustettiin Suomeen vuonna 2006.