mercoledì 23 marzo 2011

Attacco RSA: i nuovi dettagli

Come anticipato nel post precedente cominciano ad emergere i primi dettagli su quanto è accaduto ad RSA in merito al furto di informazioni riservate sul sistema di autenticazione RSA SecurID.

RSA, nella giornata di ieri, ha inviato ai propri clienti un lettera con alcune informazioni più dettagliate e una lista di FAQ che possono aiutare a capire meglio la portata di quanto accaduto e a prendere alcune misure di contenimento del rischio.

Mi soffermerò sulle informazioni che mi sembrano maggiormente significative - sintetizzandole un po' e cercando di trarne alcune conclusioni -. La lettera e la lista completa è stata pubblicata da alcuni siti, come ad esempio Credit Union Infosecurity News.


"4. La mia soluzione RSA SecurID è più vulnerabile agli attacchi dopo questo evento?
La tecnologia RSA SecurID continua ad essere una soluzione di autenticazione efficace. Chi ha attaccato RSA ha ottenuto alcune informazioni riguardanti la soluzione RSA SecurID, ma non abbastanza per completare un attacco senza informazioni aggiuntive che sono solamente in possesso dei nostri clienti...
5. Cosa si intende per attacco diretto a un cliente RSA SecurID?
Al fine di compromettere una qualsiasi distribuzione RSA SecurID, un attaccante deve possedere diversi tipi di informazioni: sul token, sul cliente, sui singoli utenti e sui loro PIN. Alcune di queste informazioni non sono in alcun modo detenute da RSA ma sono sotto il controllo del cliente. Per portare un attacco diretto efficace, un attaccante avrebbe bisogno di essere in possesso di tutte queste informazioni.
6. Cosa si intende per un attacco più ampio verso un cliente RSA SecurID?
Con attacco più ampio si intende un attacco indiretto a un cliente mediante l'utilizzo di tecniche di attacco di tipo tecnologico e tecniche di social engineering per tentare di ottenere e quindi compromettere tutte le informazioni necessarie (token, cliente, singoli utenti e relativi PIN)...
8. RSA ha cessato la produzione e/o la distribuzione dei token RSA SecurID?
Come parte delle procedure operative standard, mentre RSA sta rinforzando ulteriormente il proprio ambiente alcune operazioni vengono interrotte. La distribuzione sarà ripresa non appena possibile e le relative informazioni saranno rese note."

Grazie a queste informazioni, anche se in forma indiretta sono arrivato a concludere che:
- lo scenario peggiore, quello prospettato da Diffie (vedere il mio post precedente), è purtroppo molto verosimile, una chiave master è stata trafugata:
- in questa situazione, la robustezza dell'infrastruttura di autenticazione è quindi basata sulle informazioni in possesso dei clienti
- RSA sta lavorando alla risoluzione del problema (al minimo con la sostituzione della chiave master) e la produzione/distribuzione dei token sarà ripresa quando avranno una soluzione che riporta la robustezza della soluzione ai valori precedenti

Per poter completare la valutazione del rischio, adesso, sarebbe necessario un ultimo elemento, che però penso non sarà disponibile a breve: la motivazione dell'attacco. Mi spiego meglio, a mio modo di vedere, ci possono essere due scenari possibili dietro questo attacco:
1 Criminali che intendono sfruttare le informazioni per violare sistemi prevalentemente bancari e finanziari per rubare denaro sonante
2 Spie che intendono violare precisi e circoscritti sistemi che utilizzano RSA SecurID come sistema di autenticazione verso aree a valore aggiunto

Se questa valutazione è corretta, l'asse del rischio si sposta molto in funzione dello scenario reale. Infatti un utilizzo criminale porterebbe, nel breve/medio periodo, a numerosi attacchi a soggetti diversi con la divulgazione delle informazioni relative alla "master key" e un rapido deterioramento dei livelli di robustezza generali. L'utilizzo a fini spionistici, invece, essendo molto più limitato e circoscritto, avrebbe impatti meno generalizzati  e percepiti.

Come valutazione finale, mi sento di fare un plauso a RSA  per avere fatto "outing" in modo così rapido e completo. E' perfettamente comprensibile che questa scelta costerà molto, in termini economici, nel breve periodo. Mi auguro per RSA che, nel medio e lungo periodo, la valutazione in termini di affidabilità e di "trust", premi questa scelta coraggiosa.

4 commenti:

glamisonsecurity.com ha detto...

Diciamo anche che la legislazione americana prevede che in caso di "data leakage" non denunciate ci siano sanzioni enormi. Che poi è il motivo per cui tutti comunicano quando gli vengono rubati dei dati.

Per il resto temo anch'io che l'entità reale si vedrà dagli effetti, senza dubbio però la perdita di fiducia è stata grande.

E proprio in questi giorni è girata anche la notizia dell'attacco a Comodo... andiamo male..

Valerio ha detto...

@Glamis: la normativa europea prevede che entro il 30/5/2011 sia ratificato un omologo della "Data leakage" americana da tutti gli Stati membri.
Non mi risulta che l'Italia sia tra le avanguardie in tal senso.
E probabilmente anche in questo caso (leggasi 318/99, 196/03 allegato B, ecc.ecc.ecc.) dovremo affidare tutta la normativa in materia di Sicurezza dei cittadini all'autorità che invece istituzionalmente ne tutela la Privacy. Che almeno nominalmente è antagonista alla sicurezza stessa...

mowichum ha detto...
Questo commento è stato eliminato da un amministratore del blog.
vikupeck ha detto...

I really enjoyed this post. You write about this topic very well. There are many cherished moments in life, why not wear a beautiful dress! When looking back on special memories of your child wearing a gorgeous dress, it will make a fond memory.

generic nolvadex

Posta un commento

http://www.wikio.it