『如果有人真的想取得你的資料,最後一定能弄到手,你是可以採取預防措施沒錯,不過如果對方打定主意非拿不可,最後一定能得手…』這段話摘錄自《黑街駭客》一書,也是此次資安大廠RSA(EMC的安全部門)被駭客入侵的寫照。
在全球約有4億個使用者透過RSA的動態密碼鎖(One time password) SecureID來存取重要的系統,包括網路銀行、線上遊戲、企業或政府網路等。在台灣,中華電信為了杜絕用戶帳號被盜問題也提供這樣的服務。使用者要登入重要系統時,除了透過第一層的使用者帳號、密碼外,動態密碼鎖是提供第二層防護。目前動態碼鎖有分為硬體式與軟體式(可安裝在手機上執行),硬體式的安全性較軟體式高,不易被逆向工程破解,RSA的產品即屬於此類。其運作方式是RSA的遠端系統與用戶端手持的動態密碼鎖(OTP Token)在時間同步下,會同步產生同樣一組OTP,兩端執行同一支軟體,其安全性是建立在此OTP軟體與Key值的排列組合。然而一旦此資訊被第三方獲得,整個安全防護機制將形同虛設。
事件發生後,RSA執行主席Art Coviello選擇在RSA官網上坦然面對。公開信中指出,RSA遇上了類似Google極光事件的APT(Advanced Persistent Threat)攻擊。並且承認有某些與SecureID認證產品有關的資料已外洩,可能會使現有雙因素認證的防護有效性減低。儘管聲稱未接獲有客戶反應受到衝擊,但也隨即表示已通知所有客戶,並在客服網站上提供所有支援資訊以強化客戶系統安全。
OmniBud執行長林仲宇認為,單純軟體式的OTP其安全性較低,而硬體式OTP此次事件後也出現疑慮。結合電信網路與OTP軟體的主動式OTP是另一選擇,其運作方式是透過遠端服務廠商將一組動態密碼傳送到用戶手機,使用者再經由網頁填回(或者廠商將OTP顯示於網頁,使用者再經指定手機發送簡訊回廠商),兩端彼此有連線作身份確認。
不管如何,當Google、RSA接連傳出遭受持續性滲透攻擊,並且具體導致企業原始碼或重要技術資訊被竊,企業的防禦策略及防禦底線該做到哪裡,值得重新審視。另方面,販賣信任的資安大廠在此事件後,如何採取相關補救措施,以挽回客戶信賴也值得後續觀察。
[轉載自 : 資安人科技網]
沒有留言:
發佈留言