di Marco Calamari
Un bell’esempio di irresponsible non-disclosure.
Pare che in marzo una intrusione informatica in RSA Data Security, notissima azienda che si occupa di sicurezza informatica, abbia portato alla sottrazione di un database dei seed di tutti i token OTP prodotti.
I token OTP sono quegli aggeggini che visualizzano una password numerica di 6 cifre e la cambiano una volta al minuto; li usano alcune banche e molte grandi aziende per rafforzare la sicurezza dei login.
Questo database non avrebbe nemmeno dovuto esistere, ma questo esula dalle considerazione qui esposte.
In pratica oltre ad un PIN scelto dall’utente, per loggarsi ad un sistema che usi questi token, l’utente deve fornire anche la passsword visualizzata dal token in quel momento.
La conoscenza del seed di un token permette di prevedere tutte le password che questo generera’ in ogni momento, e quindi la sicurezza del sistema torna ad essere quelle del solo PIN, che in molte applicazioni e’ di solo 4 cifre.
RSA ne ha dato vaghe comunicazioni dopo qualche giorno.
Alla fine di aprile pero’ ci sono stati alcuni casi di intrusioniinformatiche in grandi aziende ad alto livello di sicurezza cheutilizzavano questi token.
Le modalita’ di queste intrusioni suggeriscono che i seed dei tokenrubati siano stati in effetti utilizzati in uno schema di attaccocomplesso ma che non sembrerebbe realizzabile senza di essi.
Stiamo parlando, per essere chiari, di fornitori dell’esercito americano.
Ora che gli attacchi si stanno concretizzando RSA ha iniziato a offrire ai suoi clienti la sostituzione dei token …
Qui trovate quanto serve per formarvi un vostro giudizio, ma e’ questo il livello di privacy e sicurezza (le due cose sono inscindibili in questo caso) che dobbiamo aspettarci?
Un po’ di link sul tema:
RSA SecurID Customers Fear Fallout From Targeted Attack On Security Firm
Anatomy of an Attack
Security ‘Tokens’ Take Hit
