לאחר הפריצה ל-RSA - אל מה צריכים לקוחות ה-SecureID לשים לב בקבצי הלוג של השרת?
מרבית מומחי האבטחה מרגיעים את לקוחות RSA אשר עושים שימוש ב-SecureID ומציינים כי הסיכוי להתממשות התסריט הגרוע ביותר הינו נמוך ביותר.
עם זאת, מומלץ ביותר להיות ערניים: ה-SANS Internet Storm Center יצא עם סידרת הנחיות המפרטות בדיוק אילו Entries בקבצי הלוג של השרת עלולות לעורר חשד, ועל אילו אירועים מומלץ לתת את הדעת.
להלן שורות הלוג הרלוונטיות, וההנחיות כיצד להתייחס אליהן:
AUTH_FAILED_BAD_PIN_GOOD_TOKENCODE
במרבית המקרים אין סיבה לבהלה, אלא אם כן שורה זו חוזרת על עצמה פעמים רבות, ועבור שמות משתמש רבים; שורה זו מופיעה כאשר משתמש מקליד את ה-PIN שלו באופן שגוי. במידה ויתבצע ניסיון פריצה (בתצורת Brute-Force כזו או אחרת) - השורה תופיע פעמים רבות (ובדרך כלל עד לנעילת החשבון); במידה ומשתמש לגיטימי טעה בהקלדה - היא תופיע רק פעמים ספורות.
AUTH_PRINCIPAL_RESOLUTION / AUTH_ALIASES_NOT_FOUND
שורה זו מופיעה בעת שגיאה בהקלדת ה-UserID. גם במקרה זה, החשד צריך להתעורר כאשר מופיעות שורות רבות מסוג זה ברצף; משמעות תופעה זו תהיה ככל הנראה שפורץ מנסה לנחש את שמות המשתמשים.
NEW_STATIC_PCODE_AUTH_SUCCESS
שורה זו תופיע כאשר משתמש ינסה להתחבר למערכת תוך שימוש ב-Static passcode, דבר אשר אפשרי באם הוא איבד את ה-Token שלו או באם קיבל מלכתחילה passcode סטאטי. דבר זה הינו לגיטימי לעיתים, אולם מסוכן ביותר (מעצם העובדה שמתבצע מעקף של השימוש ב-Token). הופעת שורה זו עלולה להצביע על כך שפורץ הצליח לשכנע את אנשי ה-Helpdesk שה-Token שלו אבד ושהוא נדרש ל-Passcode סטאטי.
לידיעה המקורית (אנגלית) - כאן
לידיעה נוספת (אנגלית) - כאן
