Har du en inloggningsdosa hemma? Då finns en risk att du blir hackad.

Publicerad 332 dagar sedan | David Söderlund

Har du en inloggningsdosa hemma som ger dig engångskoder för att få tillgång till din bank, din arbetsdator eller liknande så riskerar du att bli hackad. Den amerikanska it-jätten RSA, som står bakom merparten av dessa dosor och koder, tillhandahåller ett förlegat och osäkert system som riskerar it-säkerheten för över 50 miljoner användare världen över, skriver David Söderlund, VD för it-företaget Giritech.

Tweet

4 personer gillar debatten

0 personer gillar inte debatten

I mars i år utsattes RSA för en hackerattack där information om deras inloggningstjänst SecureID stals. I ett första skede lade RSA locket på helt, för att sedan blotta vad som hänt, men bara i noga valda delar. Bara utvalda kunder fick veta mer - under förutsättningen att de skrev på ett tystnadspliktsavtal. När den fulla vidden av det inträffade stod klar blev RSA till slut tvingade att gå ut med ett öppet brev och berätta vad som hänt. Det brevet publicerades dock först efter att en av RSA:s kunder, den gigantiska amerikanska försvarsmaterieltillverkaren Lockheed Martin, angripits. I en riktad attack med hjälp av den informationen som stals från RSA riskerade Lockheed Martin att bli bestulna på information som skulle få ogripbara följder. Trots att RSA:s system bevisligen är allt annat än säkert förnekar RSA säkerhetsproblemen (Sveriges Radio Ekot 2011-06-09).

Exakt vad som stals från RSA är inte helt klarlagt, men utifrån RSA:s retorik kan man dock ana att det med största sannolikhet är en lista med alla unika ID-nummer på SecureID-dosorna som har blivit föremål för stöld. Avivah Litan, vice VD och framstående analytiker på Gartner Inc., Stamford, Connecticut uttalade sig i American Banker den 11 mars 2011 ”Detta är en enorm affär, och man måste utgå från att det värsta har hänt”. Han fortsätter sedan "Om brottslingarna fått tag på huvudnyckeln, kunde de använda den för att skapa obehöriga kort eller förfalskade SecureID dosor och sedan stjäla lösenord och skapa egna engångslösenord."

RSA hävdar att stölden bara var en begränsad, överkomlig säkerhetsrisk, eftersom man inte lagrar information om vilken kund som har vilken dosa. Detta är en argumentation som inte håller. RSA är bara en av flera parter i en kedja. Återförsäljare och distributionslänkar kan mycket väl lagra den saknade informationen för att en attack skall ödelägga ett företag. Dessutom kvarstår det faktum att den del som faktiskt stals var fullt tillräcklig för att göra SecureID så osäker att en riktat attack mot Lockheed Martin nära nog lyckades. Det var Lockheed Martins egen organisation som upptäckte och lyckads förhindra att attacken lyckades. RSA har efter händelsen gått ut till kunder inom militärindustrin och andra känsliga branscher och erbjudit dem att byta ut sina nuvarande system till något som är mer säkert, eller åtminstone mindre hackat än så länge. Vad rekommenderar då RSA att andra kunder ska göra? Håll ögonen öppna efter tecken på att någon håller på att hacka ert system!

Den stora frågan
RSA:s hantering av det som hände i mars är i stora stycken klandervärd och händelsens konsekvenser har ännu inte fått full effekt. Men det är inte det värsta och det är inte detta som föranleder det största frågetecknet. Hur kan det komma sig att RSA har en så vital del av sin säkerhetslösning lagrat hos sig själva? Information som binder ihop den som försöker autentisera sig med den plats användaren försöker komma åt. Kanske är det för att vi människor tycker om den typen av upplägg? Det är skönt att ha någon att luta oss mot. Någon som känns som stor, trygg och stark. En storebror helt enkelt. RSA utger sig för att vara en sådan storebror. Nu har det visat sig att även storebröder blir lurade ibland. Problemen som nu uppstått beror på att hela systemet bygger på att man kan lita på att storebror verkligen är störst, tryggast och starkast.

När man arbetar med it-säkerhet finns det en hederskodex bland de som titulerar sig expert som innebär att man aldrig någonsin hävdar att något är ”säkert”. Det finns helt enkelt inget som är fullständigt säkert. Därför har Giritech, en uppstickare på it-säkerhetsmarknaden, tagit fram en helt ny produkt för att arbeta mobilt. Självklart finns det många komponenter och vindlingar som tagit oss till den platsen där vi säger att vi hör till bland de säkraste, men samtidigt de smidigaste lösningarna på marknaden. Men en viktig komponent är den här: vi tycker inte ens att kunderna ska lita på oss. I motsats till RSA:s brösttoner och storebrorsfasoner, där de hävdar att de vet bäst och bestämmer vad som är säkert, ger Giritech kunden kontrollen över sitt system. Retoriken från de dominerande jättar som nyss var den trygga storebrodern förvandlas plötsligt till en obehaglig Goliat. Med självsäkerhet och arrogans basunerar de sin egen förträfflighet och förfasas över osäkerheten som kommer av att inte förlita sig på storebror. Att storebror är allenarådande när det gäller vad som är bäst och tillräckligt för dig är självklart för RSA, men kanske också det som kommer få Goliats hjälm att glida bakåt i nacken så att tinningen blottas.

Det är dags att gå vidare då det som nu har hänt är oacceptabelt. Vi kan inte fortsätta använda oss av osäkra lösningar när fullgoda alternativ finns. Jodå, jag heter David.

David Söderlund, VD
Giritech Sverige

Debattör

David Söderlund

(2 artiklar)

0 KOMMENTARER