Le due personalità più importanti di RSA, azienda fondata nel 1982 dagli ideatori dell’algoritmo omonimo, oggi divisione di EMC, hanno rilasciato alcune dichiarazioni circa l’attacco subìto dalla società lo scorso marzo. Art Coviello e Tom Heiser hanno utilizzato i loro discorsi d’apertura, in occasione della “RSA Conference” di Londra, per offrire ai presenti alcuni dettagli circa la pesante aggressione sferrata nei confronti di RSA e della tecnologia SecurID (ved. questo nostro articolo).
Coviello è sicuro che l’attacco sia stato voluto a livello governativo da parte di qualche Paese straniero. La conclusione, secondo il numero uno di RSA, sarebbe ovvia valutando le competenze, il livello di sofisticazione e le risorse necessarie per mettere in atto una manovra simile. Gli indizi sinora emersi, ha aggiunto, non sarebbero però sufficienti per individuare i responsabili e puntuare il dito verso uno stato in particolare.
L’attacco, ha aggiunto Coviello, sarebbe stato messo in atto da parte di due gruppi, già conosciuti agli investigatori, ma che in precedenza non avevano mai collaborato.
RSA, inoltre, non era il bersaglio numero uno. Secondo quanto emerso, infatti, gli aggressori intendevano riutilizzare le informazioni sottratte dai server di RSA come grimaldello per accedere ai sistemi di altre società. Coviello ha però confermato che i dati rubati non sono poi mai stati usati per condurre attacchi ad altre realtà nonostante parte delle informazioni riguardasse il funzionamento della tecnologia SecurID, sfruttata per l’autenticazione “a due fattori” (qui sono riportati i primi commenti di RSA dopo l’attacco del marzo scorso).
Nonostante siano passati ormai sette mesi, le indagini proseguono. A titolo cautelativo, RSA – nel corso del mese di giugno – aveva deciso di sostituire, a livello mondiale, circa 40 milioni di token hardware. I token SecurID sono impiegati, ad esempio, nelle chiavette fornite dai più grandi istituti di credito ai propri clienti quale misura aggiuntiva per l’accesso ai conti bancari online. Per autenticarsi su un servizio remoto, infatti, gli utenti fanno uso di una password e di un numero che viene generato in hardware dalla chiavetta SecurID. Ogni token genera, in modo pseudo-casuale, una sequenza di cifre; ogni 60 secondi viene prodotto un nuovo numero. Il numero inserito nella pagina web per l’effettuazione della procedura di autenticazione deve corrispondere al numero che il server remoto, ad esempio quello dell’istituto bancario, si aspetta venga di volta in volta introdotto. In questo modo, viene data prova che l’utente conosce non soltanto la password corretta ma è anche in possesso del token ossia della chiavetta (da qui l’appellativo di autenticazione “a due fattori“). Ciascuno di questi dispositivi sfrutta un “seed” lungo 128 bit per inizializzare la procedura di generazione delle sequenze numeriche. Lato server, ciascun account utente viene associato col “seed” impiegato dalla rispettiva chiavetta (maggiori informazioni in questo articolo).