Kibernetinio saugumo ekspertai aptiko spragą fiziniame saugumo ir duomenų šifravimo modulyje (angl. HSM – Hardware Security Module) ir sėkmingai ją išnaudojo simuliuodami duomenų vagystės ataką. Iki šiol buvo manoma, kad šie kriptografija paremto saugumo įrenginiai yra nepažeidžiami, todėl juos renkasi daugelis finansinių institucijų, bankų, sertifikavimo centrų bei viešojo rakto infrastruktūrą palaikančių organizacijų.
Kibernetinio saugumo bendrovė „Sophos“ savo tinklaraštyje „Naked Security“ informuoja, kad du prancūzų saugumo ekspertai surado spragą ir įveikė kol kas neskelbiamo gamintojo HSM apsaugas, išgavo pagrindinį raktą ir juo dekodavo nutekintas vartotojų raktų hierarchijas bei įvairios paskirties sertifikatus.
Iki šiol buvo manoma, kad HSM technologija yra nepažeidžiama, todėl šis precedentas atkreipė kibernetinio saugumo ekspertų dėmesį. Kadangi spragą aptikusi ir ją atakai išnaudojusi saugumo tyrėjų grupė neįvardijo konkretaus HSM gamintojo, tai pakurstė daug aistrų bei spekuliacijų, sukėlusių paniką organizacijose, kurių saugumas priklauso nuo vieno iš HSM gamintojų.
Svarbu pabrėžti, kad pažeisto HSM įrenginio kriptografinis procesorius, pasak modelinę ataką įvykdžiusių ekspertų, veikia nepriekaištingai, o jo atliekamų kriptografinių operacijų realizacijos išlieka saugios. Kaip praneša kibernetinio saugumo tyrėjai, paties HSM įrenginio architektūrinis sprendimo spragos leido įdiegti įrenginyje papildomą atakos kodą.
Sistemų ir duomenų saugumo užtikrinimas ir ypač kriptografija paremtas saugumas šiandien sulaukia itin daug visuomenės dėmesio. Kai kibernetinėje erdvėje populiariausia preke tarp piktavalių tapo vartotojų duomenų rinkiniai, o duomenų vagysčių iš įvairių Interneto platformų kasmet vis daugėja, saugumo ekspertai vėl ir vėl rekomenduoja sistemų kūrėjams naudoti vienokius ar kitokius kriptografinius algoritmus bei įrankius duomenų šifravimui, jokiu būdu nesaugoti jautrių duomenų atviru tekstu. „Didelė dalis mūsų kasdienybės persikėlė į virtualią erdvę – investicijų bei finansų valdymas, sveikatos įstaigų paslaugos bei tyrimų ataskaitos, privataus gyvenimo akimirkos, galų gale - kriptografija paremtos blokų grandinių informacinės sistemos ar jomis grįstos paslaugos, kriptovaliutos bei jų piniginės. Rodos, be kriptografija paremto saugumo neapsieina nei viena rimtai savo veiklą vertinanti moderni organizacija. Todėl kalbant apie kritines sistemas, kur pažeidžiamumo kaina aukšta, specialistai nedvejodami renkasi šiuos fizinius saugumo modulius“, - pastebi Justinas Valentukevičius, kibernetinio saugumo bendrovės „Sophos” atstovas Baltijos šalyse.
HSM – tai techninė įranga, panaši į kompiuterio tinklo plokštę, su specialiu procesoriumi, vykdančiu kriptografines operacijas itin izoliuotoje šio modulio atmintyje, kad kriptografiniai raktai, su jais siejami vartotojų duomenys bei sertifikatai net nepatektų į kompiuterio darbinę atmintį.
„HSM – tai fiziniai saugumo moduliai, atliekantys veiksmus su begale modernaus pasaulio paslapčių, įskaitant kriptografinius raktus bei su jais siejamus vartotojų duomenis. Tai sistemų saugumo šventasis gralis. Galioja įsitikinimas, kad HSM tiesiog negali būti nesaugus. Pasirodo – gali. Užtenka žmogiškos klaidos įrenginio architektūriniame sprendime ir visi sudėtingi ir šviesmečiais neįveikiami kriptografiniai algoritmai netenka prasmės“, - sako J. Valentukevičius.
Ekspertas pastebi, kad ypač svarbu, jog kibernetiniai nusikaltėliai neprieitų prie fizinių saugumo modulių atminties ir procesoriaus, kur vykdomi veiksmai su kriptografinių raktų hierarchijomis.
„Nesaugus HSM būtų didelė problema, nes nuo HSM priklauso didelė dalis finansinių institucijų, bankų, sertifikavimo centrų, viešojo rakto infrastruktūrą palaikančių organizacijų, automobilių gamintojų kuriamų automobilinių sistemų, ir, be abejo, kriptovaliutų piniginių. Reikia reaguoti ramiai, tačiau su didele atsakomybe. Atkreipti dėmesį į HSM gamintojo naujausias rekomendacijas, įrenginio atnaujinimus bei nedvejojant juos įdiegti ir užkirsti kelią Jūsų organizacijos kriptografija paremto saugumo apokalipsei“, - komentuoja J. Valentukevičius.
