RSA - opasna radoznalost

Poznata je izreka: "Radoznalost ubi mačku" ili na engleskom „Curiosity killed the cat". Nepažnja i radoznalost se nedavno osvetila velikoj i poznatoj svetskoj firmi RSA (Security Division of EMC), koja se bavi proizvodima vezanim za računarsku bezbednost.

Pre par nedelja, ova kompanija je objavila, a mnogi mediji preneli, da je bila žrtva ozbiljnog sigurnosnog napada, koji je kompromitovao jedan od njenih važnih proizvoda poznat pod imenom RSA SecurID. Radi se o proizvodu prepoznatljivom kao token, a koji je, u suštini, deo prilično kompleksnog sistema za proveru identiteta (autentifikacije) bazirane na dva faktora (engl. two-factor authentication). Kompanija RSA je o ovom problemu obavestila berzansku SEC komisiju (Securities Exchange Comission), kao i svoje klijente.

Proizvod koriste mnoge firme širom sveta, kojima je potrebna dodatna sigurnost kod prijavljivanja na njihove sisteme. Posebno je veliki broj korisnika u finansijskom sektoru, a mnogi klijenti banaka su ozbiljno zabrinuti zbog ovog bezbednosnog problema. RSA je izdala posebnu listu saveta svojim klijentima sa detaljnijim uputstvima na šta da obrate pažnju i kako da umanje rizik u novonastaloj situaciji.

Nekoliko dana kasnije, Uri Rivner, koji je po funkciji Head of New Technologies, Consumer Identity Protection, u kompaniji RSA, je na svom blogu objavio nešto više detalja o tome kako je napad izvršen. Ovde bih pomenuo da sam imao prilike da lično upoznam gospodina Rivnera na jednoj skorašnjoj RSA konferenciji. Po mom mišljenju radi se o vrlo sposobnom čoveku i velikom stručnjaku u oblasti kojom se bavi.

Kako je napad izvršen? Po informacija iz RSA, napadač je poslao dva različita "pecajuća" (egl. phishing) maila u periodu od dva dana. Ova dva maila su poslata dvema malim grupama zaposlenih u firmi, koji, po Rivneru, se ne mogu smatrati ciljevima visokog profila. E-mail je bio osmišljen dovoljno dobro da prevari jednog od zaposlenih, koji ga je otvorio iz svog Junk foldera (onog u koji mail klijent stavlja neželjenu poštu tj. smeće) i da otvori prikačeni Excel fajl koji se zvao "2011 Recruitment plan.xls"', u prevodu: Plan zapošljavanja za 2011.

Pomenuti Excel fajl je sadržao „zero day exploit" tj. mehanizam zloupotrebe ranjivosti nultog dana - one za koju još nije postojala zakrpa odnosno zaštita. Taj exploit je instalirao zadnja tj. tajna vrata kroz ranjivost vezanu za Adobe Flash. Sledeći korak je bio da se instalira neka vrsta alata za udaljenu administraciju, koja će napadaču dozvoliti da upravlja računarom. I slučaju RSA, to je bio Poison Ivy, koji je radi u reverse-connect modu, što ga čini težim za otkrivanje. Kada napadač ima daljinski pristup, on pokušava da ustanovi ulogu zaposlenog i njegov nivo pristupa i prava u odnosu na sisteme u kompaniji, da proširi prava i ovlaštenja i da preuzme pristup do naloga koji imaju pristup osetljivim podacima.

Dakle, po onom što do sada znamo, radi se o napadau iz kategorije Advanced Persistent Threat (APT) napada, sa elemenitma brojnih drugih tehnika, uključujući socijalni inženjering, pecanje (engl. phishing), a zatim nepažnju zaposlenih tj. preveliku radoznalost.

Očekuje se da RSA saopšti više o ovom napadu uskoro.

Ono što je bitna pouka iz ovog napada jeste da:
• Napadači sve češće koriste takozvane Advanced Persistent Threat (APT) mehanizme.
• Napadači se oslanjaju na socijalni inženjering. Društvene mreže su dobar izvor informacija napadačima za tu svrhu.
• Radoznalost prosečnog ili čak vrlo obrazovanog i veštog korisnika računara, često može da bude opasna i da dovede u problem ne samo njega već i firmu u kojoj radi. Sa te strane treba biti vrlo oprezan.

U međuvremenu je i stigla vest da je RSA kupila firmu NetWitness, za koju u profilu piše:
NetWitness' technologies provide precise and pervasive network visibility, enabling security teams to detect and remediate advanced threats while automating the incident investigation process.

Neki kažu da ova kupovina ima veze sa napadom koju je pretrpela kompanija RSA i da joj upravo proizvodi firme NetWitness upotpunjuju gamu za otkrivanje i borbu u domenu APT.

Napomena: Pogledajte tekst "Jeste li se upecali?", u kome su objašnjeni neki od phishing mehanizama koje koriste napadači, kao i preporuke za zaštitu. Takođe, u tekstu "Prognoza trendova za 2011.", u nekoliko tačaka, a posebno u tački 5. je prognozira rasta ovom prilikom upotrebljenih vrsta napada.