Blog

Molti di noi utilizzano il token otp per generare il codice di accesso per il proprio homebanking, pochi immaginano la presenza di menù e infomazioni varie. Proviamo a dare uno sguardo più approfondito al nostro token, per praticità utilizzerò quello che mi fornisce la mia banca, un modello Vasco Digipass and Go, brandizzato dalla banca.
Premendo il pulsante presente sul token si genera il codice di accesso per l'homebanking, se teniamo premuto il pulsante dopo qualche secondo compare un menù con 3 voci
SECONDS
BATTERY
ID


In corrispondenza di ognuna di queste  si pussono vedere i seguenti dati:

SECONDS->SEC FT xxxxxxxxxx (numero di 10 cifre che cambia nella sola parte finale)

BATTERY-> xx (numero di due cifre; fra una prova e l’altra rimane costante)
ID ->dp xxxxxxxxxx (numero di 10 cifre che rimane costante)

Presumibilmente i dati sono riconducibili ai seguenti

SECONDS->SEC FT xxxxxxxxxx Potrebbe trattarsi del clock del dispositivo , la sigla fa pensare a Seconds Floating Time
BATTERY-> xx  questa è certamente il livello di carica della batteria incorporata
ID ->dp xxxxxxxxxx questa è l’ID della chiave di tratta di un modello nel caso in esame, digipass, identificato dalla sigla dp, e il numero di 10 cifre è il seriale.

Ora indipendentemente dal modello di otp time o event based  quello che desta la mia attenzione e, da esperto di sicurezza, la mia preoccupazione è il fatto che questi dati (sec ft xxxxxxxxxx e dp xxxxxxxxxx )a cui tutti possono avere accesso, siano utilizzati per la generazione della sequenza token. Se questi dati rappresentassero un input per la generazione della sequenza otp si potrebbe interpolando un gran numero di rilevazioni approssimare l’algoritmo di generazione dei token e "indovinare" le password generabili da un token.

Un'altro aspetto estremamente interessante è nascosto nella parte posteriore del token dove sotto l'etichetta sono presenti 6 fori di cui non comprendo l’utilità. Infatti se fossero per evitare l'accumuolo di umidità sul circuito non dovrebbero essere tappati dall'etichetta; mi viene quindi da pensare che  possano essere una porta di accesso al circuito stampato della chiave.
Non provate ad aprire il vostro token perchè si autodistruggerà e non potrete più usarlo per l'accesso all'homebanking tantomeno per fare le vostre indagini. Non so se i token sono protetti come le smartcard da scansioni a raggi x che ne rilevino la struttura; magari in una prossima puntata trovando un'apparecchiatura adeguata faccio questa verifica.

 

Gli OTP ovvero i token one time password  hanno sostituito da qualche anno la classica username e password nell'accesso all'home banking. Questi strumentio sono sempre stati definiti estremamente sicuri, o ancora peggio strumenti di strong authentication.  Purtroppo non sono così sicuri e il processo di autenticazione non è così strong come dicono. Infatti quado tutti i dati di una chiave forte di autenticazione vengon passati attraverso lo stesso canale, il web, è facile studiare soluzioni per catturare quell'informazione e usarla al posto del reale proprietario. E' quello che è stato fatto da malware come Zeus e le sue varianti.

circa un mese fa c'è stato poi un attacco a RSA che "sembra" abbia permesso ad ignoti di entrare in possesso degli algoritmi utilizzati per i token SecureID (http://blog.ironkey.com/?p=1165, http://blogs.gartner.com/avivah-litan/2011/03/19/rsa-securid-incident-should-serve-as-a-wake-up-call-on-strong-otp-user-authentication/). Naturalmente RSA ha tenuto il massimo riserbo sull'accaduto.  A distanza di un mese non sono stato chiarito cosa realmente è stato rubato e le le circaostanze che hanno portato a questa compromissione. Tutto questo con buona pace dei mezzi di informazione  delle centinai di banche che si affindano a questi token. Nel frattempo decine di milioni di utenti ingari dell'accaduto continuano ad usare i propri token SecureID, certi di avere lo strumento più sicuro. E' questione di aspettare dai 3 ai 6 mesi per vedere i primi veri attacchi basati sui dati rubati.

 

 

Con AIPSI siamo al Security Summit il giorno 14 marso 2011 alle ore 16.30 insieme all'Avv. Dott.ssa Claudia Del Re per affrontare il tema " Il marchio in rete: scenari di violazione della proprietà intellettuale e metodi di raccolta"

La crescente ed indispensabile  presenza delle aziende in rete e dei rispettivi segni distintivi apre nuovi scenari e implicitamente le porte a nuove tipologie di rischi. La tutela dei marchi aziendali in rete, dell'azienda nel contesto internazionale di Internet, ingenerale del patrimonio aziendale ridefiniscono gli schemi tradizionali in un nuovo contesto digitale che richiedendo skill specialistici.

Verranno affrontati i temi:
- L'azienda in rete
- Tutela del marchio aziendale in rete
- Le possibili violazioni del marchio in rete
- I metodi di raccolta della prova digitale: la computer forensics
- Strumenti di Computer Forensics per la tutela dell'azienda in rete.

Questo sito utilizza i cookie per offrire una migliore esperienza di navigazione. Cliccando OK puoi continuare la navigazione e questo messaggio non ti verrà più mostrato. Se invece vuoi disabilitare i cookie puoi farlo dal tuo browser. Per maggiori informazioni puoi accedere alla nostra cookie policy.