Il furto di informazioni legate al meccanismo di autenticazione a due fattori SecurID, subìto quasi tre mesi fa da RSA, ha avuto evidentemente conseguenze più ampie rispetto a quanto si era inizialmente ipotizzato. RSA, azienda fondata nel 1982 dagli ideatori dell’algoritmo RSA, oggi divisione di EMC, ha infatti iniziato a sostituire alcuni dei 40 milioni di token hardware via a via commercializzati. Lo ha rivelato il presidente dell’azienda, Arthur W. Coviello, pubblicando una lettera aperta. Tutti i clienti che nutrissero dei timori circa il livello di sicurezza fornito dai propri token, dovranno richiederne la sostituzione.
La notizia dell’aggressione “in casa” di RSA ha destato grande scalpore dal momento che token SecurID sono impiegati, ad esempio, nelle chiavette fornite dai più grandi istituti di credito ai propri clienti quale misura aggiuntiva per l’accesso ai conti bancari online. Per autenticarsi su un servizio remoto, infatti, gli utenti fanno uso di una password e di un numero che viene generato in hardware dalla chiavetta SecurID. Ogni token genera, in modo pseudo-casuale, una sequenza di cifre; ogni 60 secondi viene prodotto un nuovo numero. Il numero inserito nella pagina web per l’effettuazione della procedura di autenticazione deve corrispondere al numero che il server remoto, ad esempio quello dell’istituto bancario, si aspetta venga di volta in volta introdotto. In questo modo, viene data prova che l’utente conosce non soltanto la password corretta ma è anche in possesso del token ossia della chiavetta (da qui l’appellativo di autenticazione “a due fattori”). Ciascuno di questi dispositivi sfrutta un “seed” lungo 128 bit per inizializzare la procedura di generazione delle sequenze numeriche. Lato server, ciascun account utente viene associato col “seed” impiegato dalla rispettiva chiavetta.
Immediatamente dopo aver subìto l’aggressione informatica (ved. questo nostro articolo in merito), RSA preferì non specificare pubblicamente quali dati fossero stati trafugati. Nel corso di un’intervista rilasciata in queste ore, Coviello ha spiegato che RSA scelse la strada della riservatezza per evitare di offrire agli aggressori spunti per l’utilizzo delle informazioni sottratte dai server dell’azienda.
Secondo gli esperti, la distribuzione di nuovi token hardware fa pensare che i criminali informatici abbiano rubato sia i “seed” che gli algoritmi impiegati per calcolare le password “one-time” (OTP). E’ quindi lecito ritenere che i nuovi token, semplicemente, facciano uso di “seed” che non sono in possesso dei malintenzionati.
Stando a quanto aggiunto da Coviello, i criminali si sarebbero voluti impossessare dei dati relativi al funzionamento di SecurID con lo scopo di guadagnare l’accesso a segreti militari (RSA ha già provveduto a rimpiazzare i token hardware usate dalle autorità governative).
Resta comunque l’incredulità per “la leggerezza” che avrebbe esposto il fianco di RSA all’azione degli aggressori: una vulnerabilità 0day individuata in Adobe Flash Player (tutti i dettagli nel nostro servizio).