Włamanie do RSA efektem zaniedbań administratorów?

Głośne włamanie do sieci informatycznej firmy RSA Security udało się włamywaczom głównie dlatego, że... w zaatakowanym przez nich komputerach z Windows XP nie włączono jednego z podstawowych systemów zabezpieczających - Data Execution Prevention (DEP). Tak w każdym razie twierdzi Rodrigo Branco, ekspert z firmy Qualys, który przeprowadził drobiazgową analizę ataku na RSA.

Polecamy:

• Jak zabezpieczyć sieć bezprzewodową w firmie?
• Bezpieczeństwo - trzy duże problemy
• System certyfikatów SSL - czas na zmiany

Włamanie do RSA było jednym z głośniejszych wydarzeń ubiegłego roku - nieznani do dziś włamywacze sforsowali zabezpieczenia firmy i wykradli m.in. dane na temat funkcjonowania systemu autoryzacyjnego SecureID. Informacje zostały później wykorzystane do kilku ataków na firmy wykorzystujące rozwiązania RSA.

Z analiz przeprowadzonych przez Branco wynika, że celem ataku na RSA były komputery pracujące pod kontrolą systemu Windows XP SP3 - niestety, żadna z wybranych przez włamywaczy maszyn nie miała włączonego systemu zabezpieczającego DEP (Data Execution Prevention).

Specjalista z Qualys zaznacza, że choć DEP pojawił się w Windows XP wraz z drugim Service Packiem, to jednak nie jest on domyślnie uaktywniony. Ale jego zdaniem w przypadku RSA nie jest to żadne wytłumaczenie, bo firma zajmująca się szeroko rozumianym bezpieczeństwem IT powinna mieć wdrożone wszelkie dostępne systemy zabezpieczające. Tym bardziej, że administratorzy instalujący w komputerach pracowników RSA dodatek SP2 mogli za pomocą korporacyjnych narzędzi aktualizacyjnych w łatwy sposób włączyć DEP na wszystkich stanowiskach.

Włamywacze do zaatakowania komputerów wykorzystali niezałatany jeszcze wtedy błąd w aplikacji Adobe Flash Player, więc część winy leży po stronie Adobe - ale gdyby Windows XP aktywny był DEP, przeprowadzenie ataku prawdopodobnie nie byłoby możliwe (zadaniem DEP jest właśnie zablokowanie wszelkich nieautoryzowanych prób uruchomienia kodu).

"Myślę, że włamywacze w ciemno założyli, że w systemie informatycznym RSA wciąż muszą pracować jakieś komputery z Windows XP. Zresztą, takie informacje nietrudno zdobyć - choćby poprzez analizę danych z przeglądarek" - wyjaśnia specjalista.