Co skradziono z RSA?

Co w rzeczywistości mogło wyciec podczas włamania do EMC RSA?

Co w rzeczywistości mogło wyciec podczas włamania, o którym właśnie poinformowało EMC RSA? Kluczowy wydaje się być ten fragment oświadczenia firmy:

Some of that information is specifically related to RSA's SecurID two-factor authentication products. While at this time we are confident that the information extracted does not enable a successful direct attack on any of our RSA SecurID customers, this information could potentially be used to reduce the effectiveness of a current two-factor authentication implementation as part of a broader attack.

Zasada działania tokentów SecurID jest stosunkowo prosta. Jawny algorytm kryptograficzny oparty o AES generuje hasła jednorazowe na podstawie aktualnego czasu, który jest w każdym tokenie taki sam, oraz losowej wartości inicjalizującej (seed), która w każdym tokenie jest inna. Ponieważ wszystkie pozostałe dane wejściowe są jawne, jedyną wartością tajną w systemie jest seed. Mając seed i numer seryjny tokenu serwer SecurID (ACE) oblicza wartość, o której w danym momencie czasu "myśli" fizyczny token. Na tej samej zasadzie działają zresztą tokeny programowe (software tokens).

Na podstawie tego lakonicznego opisu można zatem wywnioskować, że skradziona została baza (lub jej część) seedów. Gdyby tak się stało to oczywiście nie oznacza całkowitej kompromitacji systemu bo włamywacze nie dysponują jeszcze numerami seryjnymi poszczególnych tokenów. Ale w przypadku ataku wycelowanego w konkretną organizację takie informacje można zdobyć różnymi metodami i jest to o wiele łatwiejsze niż kradzież samych tokenów. W przypadku gdy organizacja używa tokenów w trybie tzw. token-only mode (czyli bez PIN) znalezienie numeru seryjnego tokena jakiegoś pracownika w skradzionej bazie oznaczałoby faktyczne obejście uwierzytelnienia bez konieczności kradzieży tokena. Jeśli tokeny są używane w domyślnym trybie passcode (z kodem PIN) to system nadal będzie bezpieczny, choć znacznie osłabiony - z uwierzytelnienia dwuskładnikowego wyeliminowany został element "coś co masz" (czyli token) a zostało jedynie "coś co wiesz" (czyli PIN).

Oczywiście to tylko spekulacje. Możliwe, że wyciekły inne dane - system SecurID jest skomplikowany i zawiera wiele dodatkowych elementów, które mogły zostać skradzione i w jakiś sposób obniżają bezpieczeństwo systemu. Mogły to być na przykład dane do offline authentication lub kody do odzyskiwania haseł. Ale żaden z tych elementów nie pasuje tak dobrze do tego krótkiego opisu RSA jak wartości seed.

Co teraz? Gdyby wyciekły wartości seed to poszkodowane organizacje musiałyby wymienić skompromitowane tokeny. Po tej operacji system będzie nadal tak samo bezpieczny jak przed włamaniem.

W celu komercyjnej reprodukcji treści Computerworld należy zakupić licencję. Skontaktuj się z naszym partnerem, YGS Group, pod adresem [email protected]

TOP 200