連資安公司也自身難保

正在使用RSA SecurID雙因素認證Token的企業要注意了，RSA在3月18日發布聲明指出，該公司的系統被駭客入侵，因而有一些與SecurID雙因素認證Token產品有關的資料被偷，而這些資料若被運用於攻擊，可能會讓Token認證的有效性降低。

RSA是業界相當信賴的資安公司，RSA加密演算法已成業界標準，而RSA的Token雙因素認證產品，在市場亦擁有極高的占有率。據RSA的官方資料，全球有4千萬位企業員工使用SecurID，以確保由遠端登入企業資訊系統的安全性。但是，現在RSA自己也被駭客入侵了。

從事發至今，除了EMC RSA總裁Art Coviello署名的公開信之外，RSA沒有對外說明任何進一步的情況，我們致電RSA臺灣，也無法獲得任何的說明，得到的回覆就是一切以總裁的公開信為主。

現在的情況就像日本福島核電廠危機，儘管核電廠爆炸、冒煙的景象歷歷在幕，但核電廠裏頭到底怎麼了，卻一直沒聽到東京電力公司正面的說明，而核能專家就只能看著各種照片、空拍圖推斷情況。

RSA被駭的情況也是一樣，該公司的公開聲明只說這是一種技巧老練、長期潛藏的駭客攻擊手法，被竊取的資料中有一部分是與SecurID產品有關，而這些資料若被利用，則有可能降低雙因素認證機制的有效性。至於到底是SecurID的哪些資料被竊，RSA則未加說明。

在這種情況下，許多資安專家就只能從旁推敲，最後，多位專家的結論都一樣，建議企業在如此狀況未明的情況下，要有最壞的打算──整個機制失效。

最糟的情況是，駭客偷走了Token裏的種子（Seed）資料。在SecurID Token裏，內建一個稱之為種子的128位元數值，這個數值會結合當時的時間，透過RSA的演算法，轉換成一段數值，這個數值通常再結合印在Token背後的序號（PIN），而組合成一次性的密碼。

在後端伺服器，必須部署RSA ACE伺服器，這個伺服器裏有一份種子數值的資料，以及相同的RSA演算法，因而ACE伺服器就可驗證Token產生的一次性密碼。

這些SecurID Token在出貨前，就會內建好種子數值，因此RSA的系統會有一份種子數值的資料。這些資料可說是最重要的秘密，如果被駭客偷走的是種子數值，那麼駭客只要透過逆向工程破解演算法，再利用社交工程等手法騙到員工手上Token的PIN碼，那麼不需要靠Token就能產生可通過ACE伺服器驗證的一次性密碼了。若是這種情況就非常嚴重了，因為所有的Token都得更新，刷新種子數值。

資安專家推測的另一種情況是，ACE伺服器的原始碼被偷，那麼駭客可能因而進一步了解ACE伺服器的漏洞，有可能藉由攻擊漏洞來取得ACE伺服器的掌控權。

對於這些可能的問題，RSA目前都未加說明，倒是在聲明信中建議企業要強化資安措施，諸如確保ACE伺服器的軟體更新、以資安事件監測系統來監看不尋常或過於頻繁的認證、教導員工不要被社交工程手法騙走帳號與PIN碼等等。這些都是企業應該立即因應的做法，然而更重要的是，RSA應該要站出來對用戶說清楚。

在臺灣，RSA說已在第一時間告知用戶，我們採訪一些大型企業，他們表示確實在第一時間接到通知，但大型企業之外，則有公司表示尚未被告知，若你使用SecurID產品，可不能輕忽這件事情的影響。（請見第16頁）