PERICOLI per il mondo reale non ce ne sono, finora si tratta di un esperimento di laboratorio effettuato sull'hardware fisico, e per eseguirlo correttamente bisogna conoscere il Pin del dispositivo. Ma di fatto il codice di protezione del "token", tecnologia alla base di diversi strumenti elettronici per la gestione dell'economia personale, è stato compromesso. Il crack funziona però solo sui tipi di chiavette che si collegano alle porte Usb del computer, non a quelli più diffusi con il pulsante da premere per generare la password numerica, senza connessioni Usb.
IMMAGINI: LE CHIAVETTE TOKEN 1
Un studio effettuato in Francia, all'Istituto nazionale per le scienze informatiche, rivela una falla di sicurezza importante nel settore. I "token", codici che generano password numeriche della durata di 60 secondi, e un gruppo di esperti in crittografia è riuscito a smantellarne le difese.
In base a un articolo comparso sulla rivista 'Inria', alcuni scienziati sarebbero riusciti a violare la protezione delle chiavette RSA SecurID in pochi minuti. Al gruppo di studiosi che ha partecipato all'esperimento appartiene anche un italiano, Lorenzo Simionato dell'Università Cà Foscari di Venezia.
13 minuti. Gli scienziati hanno sviluppato un approccio che richiede 13 minuti per craccare la chiavetta di RSA RSA Security, uno dei maggiori player nel campo della cifratura. Un portavoce dell'azienda, Kevin Kempskie, ha dichiarato che gli esperti del gruppo hanno condotto ricerche per verificare i risultati della ricerca. Normalmente, occorrono circa 215mila passi per violare un codice a 1024 bit.
Dati al sicuro. E la risposta è che per ora, secondo l'azienda, l'esperimento è un esercizio accademico e non una tecnica di exploit a disposizione di malintenzionati: l'attacco non tocca la sicurezza delle password numeriche, ma solo la parte hardware che contiene i codici di criptazione. Per accere a questi, gli hacker dovrebbero comunque già conoscere il Pin dell'utente, il che renderebbe l'attacco ridondante.
Nel merito dell'esperimento, anziché 215mila passi, il metodo proposto dagli studiosi prevede un algoritmo che si muove su 'soli' 9400 passi, consentendo un attacco efficiente abbastanza da essere considerato praticabile. Allo stesso modo, sono stati violati anche i sistemi SafeNet's iKey 2032 e Aladdin eTokenPro, CardOS Siemens e Gemalto CyberFlex, che però hanno richiesto circa 90 minuti.
L'esperimento ha dimostrato che il sistema di protezione dei dati è sì vulnerabile, ma senza accesso fisico e Pin, non è possibile rubare nulla. Le aziende interessate sono comunque al lavoro per risolvere la vulnerabilità a monte.
(28 giugno 2012)
www.repubblica.it/tecnologia/2012/06/28/news/violato_il_segreto_del_token_le_chiavette_bancarie_sono_vulnerabili-3...