sobota, 19 marca 2011

SecurID hacked, czyli co nam grozi

Jak można przeczytać ostatnio w serwisach internetowych, nastąpił atak na firmę RSA. Wykradziono bliżej nie sprecyzowane dane, najprawdopodobniej były to seed'y do do tokenów tejże firmy. Informacje o ataku ukazały się nie tylko w specjalistycznych serwisach, ale i w "normalnych" serwisach informacyjnych takich jak TVN24.

Czy jest się czym martwić? Oczywiście TAK, jak przy każdym takim wycieku. Czy nasze pieniądze(najczęściej używamy tokenów w bankach) są zagrożone? Nie do końca, choć nie wiadomo co dokładnie wyciekło - RSA nie wyjaśnia tego dokładnie. To nawet gdy wyciekły wszystkie ich dane sam mechanizm jest tak skonstruowany że bez dodatkowych danych jest nic nie warty. Po pierwsze tokenów używa się tylko przy two-factor('dwu czynnikowej') autoryzacji. Najpierw trzeba podać hasło do banku, dopiero potem przy zatwierdzaniu przelewu kod z tokena. Dodatkowo istnieje jeszcze połączenie token-seed. Co to jest seed? Seed(najprawdopodobniej właśnie je wykradziono) to najczęściej 128 bitowa "początkowa" wartość która co minutę jest zmieniana przez specjalny algorytm. Algorytm ten najczęściej co 60 sekund zmienia wyświetlany kod. Na podstawie wyświetlanych kodów nie da się przewidzieć następnego kodu. W tym właśnie tkwi "siła" tokenów. Jeśli hakerzy wykradli seed'y, są w stanie odgadnąć każdy kod wyświetlany na danym tokenie. Jednak nie wiedza do kogo dane urządzenie należy, nie znają jego numeru seryjnego. Nie wiedzą do którego konta jest on przypisany, te informacje przechowuje nasz bank.

W skrócie, w najgorszym przypadku hakerzy wiedzą jaki kod jest wyświetlany na każdym tokenie. Jednak nie wiedza kto jest jego posiadaczem(jedyne co mają to pewnie nazwę firmy która kupiła dany "token") poza tym nie znają Waszego hasła do banku.

Choć wszystkie tego typu informacje należy traktować poważnie to nie ma powodów do obaw. Hakerzy potrzebują jeszcze "dużo" informacji żeby ukraść Wasze pieniądze. Mogą się jednak posłużyć wcześniej zdobytymi informacjami więc jest to dobry moment na prewencyjną zmianę hasła. Najlepiej nie tylko do banku, ale tez do e-mail'a dzięki któremu można wykraść bardziej cenne dane czy robić ciekawsze rzeczy.

Na pewno po takiej informacji ucierpi reputacja firmy RSA, ale raczej nie nasze pieniądze. W tym wypadku wystarczy wymienić skompromitowane tokeny i system będzie tak samo bezpieczny jak przed włamaniem. Powinniśmy się bardziej skoncentrować na prostszych atakach na nasze konta bankowe np. MitMo który jest bardziej niebezpieczny dla naszego konta i bazuje na naszej głupocie niewiedzy. Kradzież informacji z baz danych jest chyba najrzadszą formą ataków na nasze konta, częściej wykorzystywana jest nasza nieostrożność. Wyjątkiem jest Allegro które trzyma nasze hasła w plain text'cie, dlatego dobrze mieć różne hasła do różnych serwisów.

Źródła:
Niebezpiecznik
blog Pawła krawczyka
Wikipedia

Brak komentarzy:

Prześlij komentarz