Navigatie overslaan.
Start

RSA tokens

Interessante week deze week: RSA gehacked.

RSA maakt hardware tokens die het mogelijk maken om via 2-factor authentication met een one-time password in te loggen op systemem.

Het algoritme om deze wachtwoorden te genereren is al een tien-tal jaar gekend (http://seclists.org/bugtraq/2000/Dec/459), maar dat is niet echt een probleem.
Om successvol tokens te kunnen emuleren is er ook de random "seed" en het serienummer nodig van het token.

Alhoewel het helemaal niet vaststaat, ben ik vrij zeker dat de "seeds" van de tokens gestolen werden bij RSA.
1 en 1 is namelijk 2.
Als je de techniek begrijpt, en ziet dat RSA hun klanten er nu uitdrukkelijk op wijst dat de serienummers geheim moeten blijven, dan snap je ook wel hoe laat dat het is.
(Het is trouwens altijd beter om bij dergelijke zaken van het ergste uit te gaan.)

Helaas staat het serienummer op bijna alle tokens 3 keer: In reliëf in de plastiek, gedrukt op een sticker, en in streepjescode op dezelfde sticker.

Stel nu dat een aanvaller successvol een token kan emuleren van iemand anders, dan nog is dat slechts een gedeelte van het verhaal. De aanvaller moet ook nog de pincode (in de meeste gevallen) kennen die voor de gegenereerde key komt te staan, en ook de gebruikersnaam kennen die bij het token hoort.

Helaas zijn gebruikersnamen makkelijk te raden. Facebook, linkedin, de bedrijfwebsite, etc... maken het alleen maar makkelijker om te weten te komen wie waar werkt. Dus iedereen met gezond verstand inzake security gebruikt natuurlijk een gebruikersnaam die niets te maken heeft met de naam van de gebruiker zelf om zo weer een extra layers of defense te komen.

Dat alles geldt natuurlijk enkel en alleen als je er zeker van kan zijn dat er geen keyloggers op gebruikers PC's draaien via waar de gebruikernamen en pincodes gestolen kunnen worden.
Als je niet de volledige sessies via HTTPS doet, dan is dat natuurlijk allemaal verloren moeite, want een aanvaller kan dan nog steeds session highjacking doen.

Met multiple layers of defense kan je nog steeds slapen als er een volledige laag gecompromiteerd wordt.
Als je maar 1 laag hebt, dan heb je natuurlijk een serieus probleem.
Als RSA token je enige security mechanisme zijn, dan is het nu tijd om te zweten.

Aangezien de meeste RSA tokens slechts 3 jaar werken waarna ze sowieso vervangen moeten worden, is de keuze misschien makkelijk gemaakt om te kiezen waardoor ze vervangen worden.

Maar, het is maar een gedacht, misschien werden jouw "seeds" al veel eerder gestolen uit jouw eigen authentication server, want meestal staat die wijd open voor iedereen die vanop de parking aan het wireless netwerk kan...

Meer informatie over SecureID: http://en.wikipedia.org/wiki/SecurID