RSA SecurdID, o buraco pode ser maior que parece

Quando foi amplamente divulgado em março que o produto SecurID da RSA sofreu uma importante falha de segurança, muitos especialistas afirmaram que o problema era muito mais teórico que prático e que os usuários de bancos, que usamos nossos tokens RSA para autenticação poderíamos ficar tranquilos.

Não foi bem assim. E as noticias do ataque eletrônico com possível roubo de material militar na Lockheed Martin mostra a gravidade do problema.

Os tokens servem para aumentar a segurança da criptografia com a autenticação de duas camadas. Neste tipo de autenticação é utilizado algo que somente você (na teoria) conhece, no caso a senha, com algo que você possui (o token). No caso de autenticação biométrica seria a combinação da senha com algo que você tem de pessoal (íris, digitais, formato da mão, etc.)

Como muitos usuários empregam senhas fáceis como manuel123 ou a data de seu aniversário concatenado com de sua mulher, a segunda camada de autenticação exige que o invasor saiba a sua senha e roube seu token.

O token é um relógio, uma senha e uma função matemática F que une a hora H com a senha S para formar uma sequência de números que é exibida no display. Esta sequência é F(H,S). Como a função F é conhecida (aparentemente foi quebrada há alguns anos) e a hora H é conhecida, o cara que está fazendo o ataque teria que conhecer S para violar seu sistema. No entanto S é algo que está inserido de maneira inviolável no dispositivo.

Na outra ponta está o site ou banco que está recebendo a autenticação, este lado ao receber o número de série do reloginho (que fica no verso) tem que ter uma tabela de S associados a cada relógio que distribuiu para conferir F(H,S) e ver se está correto.

Embora não esteja claro o que aconteceu (cf. http://www.rsa.com/node.aspx?id=3872) parece que vazou o banco de dados, ou parte do banco de dados de associação entre o número de série do reloginho e a senha S. Se de fato isto se confirma, e o ataque a Lockheed Martin foi feito usando informações obtidas deste banco de dados, houve um duro golpe na segurança das autenticações e será preciso pensar alguma forma mais segura de gerar os dados do token. Além disso as perdas para a RSA e para os usuários podem ser muito elevadas.

 

Comments on this entry are closed.