lunedì 21 marzo 2011

RSA: un attacco epocale

Siete clienti di una banca che vi ha dato una chiavetta con display simile a quella nella foto (che però spero non mostri i teschi che ho aggiunto io)? Avete un sistema di One Time Password (OTP) per accedere alla vostra intranet aziendale? Bene se i sistemi sono prodotti da RSA, c'è un po' da preoccuparsi.

Art Coviello, il mitico presidente di RSA, in una lettera aperta alla propria clientela ha reso pubblico che la propria società è rimasta vittima di un sofisticato attacco finalizzato al furto di dati riservati. Nelle parole di Coviello si può leggere tutta la preoccupazione e la difficoltà che certamente dominano in queste ore in RSA: "Recentemente, i nostri sistemi di sicurezza hanno identificato un attacco informatico estremamente sofisticato diretto contro i nostri sistemi... La nostra indagine ci porta a ritenere che l'attacco sia del tipo  Advanced Persistent Threat (APT). La nostra indagine ha rivelato inoltre che l'attacco ha comportato l'esfiltrazione di informazioni riservate dai sistemi di RSA. Alcune di queste informazioni sono specificamente correlate ai prodotti di autenticazione "RSA SecurID". Mentre in questo momento siamo fiduciosi sul fatto che le informazioni trafugate non consentano un attacco diretto su una qualsiasi delle nostre RSA SecurID, queste informazioni potrebbero essere utilizzate, in un attacco di più ampia portata, per ridurre l'efficacia di una realizzazione basata sull'autenticazione a due fattori."

Intanto, la prima considerazione che deve essere fatta è che questo episodio dimostra ancora una volta che anche le realtà più evolute dal punto si vista della sicurezza non sono in grado di fronteggiare adeguatamente un nemico che, oggi, ha troppi vantaggi dalla sua parte. Per riuscire a fronteggiare questa minaccia, si dovranno imboccare strade nuove, basate sulla collaborazione internazionale tra soggetti diversi (società, ISP, forze dell'ordine, CERT, ecc.) con il forte appoggio dei vari governi nazionali.

Subito dopo però, dato che i token di autenticazione di RSA sono lo "standard de facto" in molti mercati mondiali tra cui quello bancario, diventa assolutamente vitale capire esattamente quali informazioni sono state sottratte ad RSA e quindi che tipo di impatto ci può essere in futuro. Il New York Times ha chiesto ad alcuni dei maggiori esperti di crittografia quale possa essere l'impatto di questo attacco. Le notizie riportate non sono però molto incoraggianti: "Nonostante la mancanza di dettaglio, alcuni specialisti di sicurezza hanno affermato che la violazione potrebbe rappresentare una minaccia reale per aziende ed enti pubblici che si affidano alle tecnologia RSA. Una possibilità, ha detto Whitfield Diffie, uno specialista di sicurezza informatica che ha inventato alcuni dei sistemi crittografici più utilizzati nell'ambito del commercio elettronico, è che possa essere stata rubata una "chiave master" ossia un numero segreto molto grande, utilizzato come parte integrante dell'algoritmo di crittografia. Il caso peggiore, ha detto Diffie, è che un attaccante riesca a produrre dei token che duplicano quelli forniti da RSA, rendendo possibile l'accesso alle reti aziendali e ai sistemi informatici protetti"

Proprio a causa della preoccupazione che le informazioni trafugate dalle reti di RSA possano essere utilizzate in attacchi ad altre infrastrutture, la Counter Threat Unit (CTU) di Dell ha prodotto un interessante documento di analisi che propone anche delle possibili azioni preventive tra cui:
- verificare il patching e l'hardening dei sistemi utilizzati per l'autenticazione con token RSA
- monitorare attivamente i log dei sistemi IPS/IDS 
- monitorare i log dei sistemi utilizzati per l'autenticazione con token RSA verificando con attenzione gli errori ripetuti di autenticazione e gli errori non seguiti da successo
- tenere sotto controllo i cambiamenti di IP sorgente nei tentativi di autenticazione e i login multipli verso account unici

Nel documento prodotto dalla CTU di Dell si consiglia inoltre di osservare le seguenti raccomandazioni:
- realizzare sistemi di autenticazione OTP solo con canali criptati
- monitorare attivamente gli schemi di phishing o gli attacchi finalizzati alla cattura di codici OTP
- educare i propri utenti contro i tentativi di phishing e di ingegneria sociale in genere

Con le poche informazioni disponibili questo è il quadro più esaustivo della situazione che si può effettuare. Infatti, sino ad ora, comprensibilmente, RSA è stata abbastanza reticente comunicando solo le informazioni essenziali, probabilmente per interferire il meno possibile con le indagini in corso. E' però certo che maggiori informazioni siano dovute e che, probabilmente, arriveranno nei prossimi giorni.
---------------------------------------------------------------------------------------
Aggiornamento 23 marzo 2011
Sono emerse nuove informazioni e quindi ho pubblicato un nuovo post, chi volesse approfondire l'argomento, può leggere "Attacco RSA: i nuovi dettagli".

4 commenti:

glamisonsecurity.com ha detto...

Lo scenario proposto da Diffle è abbastanza inquietante. Posto che comunque sia davvero così facile arrivare a quel dato, mi sarei aspettato un dipendente infedele, non un attacco mirato.

Le contromisure poi, sembra incredibile, sono sempre le stesse: patch, correlazione, hardening, perfezionamenti architetturali.

Forse la cosa più grave è che ancora molte aziende non hanno capito come gestire le cose in sicureza... :(

d. ha detto...

a guardala da un lato "positivo" questo incidente potrà segnare la fine della tecnologia OPT, che come tutti sappiamo ha ben poco di sicurezza vera.
Le aziende, banche soprattutto, dovranno rivedere le proprie soluzioni abbandonando l'aspetto puramente marketing che ha caratterizzato principalmente la scelta verso gli OPT. Finalmente si guarderà alla sicurezza con maggiore attenzione.

d.

Matteo Cavallini ha detto...

Grazie a "Glamis" e a "d." per i commenti.

Credo che le informazioni siano ancora troppo poche per poter trarre delle effettive conclusioni su quello che è successo e sugli impatti che avrà. Di certo trovo "interessante" che il terreno di scontro si sia spostato dentro le roccaforti delle società che si occupano di sicurezza. Probabilmente cercare di trovare delle scorciatoie utili a portare attacchi è molto appetibile...

Nel futuro ci aspettano altri attacchi eccellenti? Lo vedremo...

Saluti,
Matteo

glamisonsecurity.com ha detto...

Certamente c'è da aspettare. Anche se dubito che sapremo qualcosa di certo, a meno di un exploit delle mail stile anonymous vs. HBGary ;)

Concordo comunque con d., forse qualcuno comincerà a capire che l'OTP, presentato come panacea di tutti i mali della sicurezza, ne ha in realtà ben poca...

Posta un commento

http://www.wikio.it