[e-privacy] RSA token one-time-password irrimediabilmente compromessi

Marco Calamari marcoc1 a dada.it
Gio 9 Giu 2011 11:56:26 CEST 

Un bell'esempio di irresponsible non-disclosure.

Pare che in marzo una intrusione informatica in RSA Data Security,
 notissima azienda che si occupa di sicurezza informatica, abbia
 portato alla  sottrazione di un database dei seed di tutti i
 token OTP prodotti.

I token OTP sono quegli aggeggini che visualizzano una password numerica
 di 6 cifre e la cambiano una volta al minuto; li usano alcune banche e
 molte grandi aziende per rafforzare la sicurezza dei login.

Questo database non avrebbe nemmeno dovuto esistere, ma questo esula
 dalle considerazione qui esposte.

In pratica oltre ad un PIN scelto dall'utente, per loggarsi ad un
 sistema che usi questi token, l'utente deve fornire anche la passsword
 visualizzata dal token in quel momento

La conoscenza del seed di un token permette di prevedere tutte le
 password che questo generera' in ogni momento, e quindi la sicurezza
 del sistema torna ad essere quelle del solo PIN, che in molte 
 applicazioni e' di solo 4 cifre.

RSA ne ha dato vaghe comunicazioni dopo qualche giorno.

Alla fine di aprile pero' ci sono stati alcuni casi di intrusioni
informatiche in grandi aziende ad alto livello di sicurezza che
utilizzavano questi token.

Le modalita' di queste intrusioni suggeriscono che i seed dei token
rubati siano stati in effetti utilizzati in uno schema di attacco
complesso ma che non sembrerebbe realizzabile senza di essi.

Stiamo parlando, per essere chiari, di fornitori dell'esercito
 americano.

Ora che gli attacchi si stanno concretizzando RSA ha iniziato a offrire
 ai suoi clienti la sostituzione dei token ...

Qui trovate quanto serve per formarvi un vostro giudizio, ma e' questo
 il livello di privacy e sicurezza (le due cose sono inscindibili
 in questo caso) che dobbiamo aspettarci?

Mi viene in mente un recente caso in un settore totalmente diverso

<http://www.informationweek.com/news/security/attacks/229301301>

<http://blogs.rsa.com/rivner/anatomy-of-an-attack/>

<http://online.wsj.com/article/SB10001424052702304906004576369990616694366.html>

<http://www.nytimes.com/2011/06/04/technology/04security.html>



-------------- next part --------------
A non-text attachment was scrubbed...
Name: not available
Type: application/pgp-signature
Size: 198 bytes
Desc: This is a digitally signed message part
URL: <http://lists.winstonsmith.org/pipermail/e-privacy/attachments/20110609/3eea1432/attachment.pgp>

More information about the e-privacy mailing list