La RSA confessa: “è vero, il SecurID è stato bucato”
Un dispositivo SecurID
(-)
Loading ...
Il recente dubbio sulla sicurezza RSA è ormai realtà. L’azienda ammette la vulnerabilità del proprio token con il SecurID e i relativi rischi, ma prepara anche la propria controffensiva
Articoli correlati:
Roma – RSA ammette la vulnerabilità del SecurID, allarme già recentemente diffuso con la lettera aperta scritta da Art Coviello, CEO di EMC Company e responsabile di tale crittografia.
RSA indica un algoritmo di crittografia asimmetrica, utilizzabile per cifrare o firmare informazioni, oggi largamente utilizzato nelle comunicazioni Web allo scopo di “proteggere” i propri dati sensibili.
I dispositivi SecurID sono impiegati, ad esempio, nelle chiavette fornite dai più grandi istituti di credito ai propri clienti quale misura aggiuntiva per l’accesso ai conti bancari online. Ogni token genera, in modo pseudo-casuale, una sequenza di cifre: viene quindi prodotto un nuovo numero ogni 60 secondi. Per la procedura di autenticazione ad una pagina Web, tale numero deve essere inserito e deve necessariamente corrispondere al numero che il server remoto si aspetta di ricevere.
Grazie a tale operazione, l’utente rende prova della conoscenza non soltanto della password ma del possesso del token, ossia della “chiavetta” consegnatagli dall’istituto di credito.
A seguito di recenti attacchi informatici a diversi enti della difesa, eseguiti da hacker violando la protezione con le chiavi rubate SecurID, RSA promette di sostituire i token per risolvere la vulnerabilità delle reti dati con essi protette.
Art Coviello ha ammesso che il motivo dietro al probabile furto avvenuto lo scorso marzo delle informazioni relative al token SecurID era quello di impossessarsi di segreti militari di difesa. RSA ha dunque specificamente messo in guardia i propri clienti, dato che il furto potrebbe portare a violazioni della loro sicurezza.
Alla fine di maggio Lockheed Martin, un appaltatore della difesa USA, ha annunciato di aver subito un attacco da intrusi. Simili incidenti di sicurezza si sono verificati anche a L-3 Communications e Northrop Grumman. Gli esperti di sicurezza hanno quindi spiegato a Cnet che gli attacchi potrebbero essere legati a campagne di spionaggio telematico intraprese dalla Cina.
Nel tentativo di placare gli animi dei clienti preoccupati per la propria sicurezza, Coviello assicura che anche se egli stesso conserva piena fiducia in SecurID come sistema di autenticazione, RSA si adopererà per innalzare il livello di sicurezza in due modi fondamentali:
- Sostituirà i token SecurID per i clienti che hanno bisogno di proteggere la loro proprietà intellettuale e le reti aziendali, operazione che in sostanza potrebbe applicarsi a tutti i clienti della società.
- Preparerà un’offerta di istituzione di specifiche “strategie di autenticazione risk-based” per i clienti con un gran numero di utenti che interagiscono on line, come ad esempio quelli legati alle transazioni finanziarie.
Al di là di queste misure, Coviello ha affermato che la società prevede di continuare ad investire nella tecnologia SecurID, nel tentativo di rafforzare la sua autenticazione e la sua capacità di individuare “comportamenti sospetti indirizzati a reti, transazioni e sessioni utente”.
Fino ad oggi, con l’ausilio di questa tecnologia, si era portati a ritenere di operare online in maniera di certo non completamente sicura, ma almeno più salvaguardata. Gli ultimi fatti, sfortunatamente, riducono di molto lo spessore di questa “cortina protettiva”. Del resto, la crittografia è una scienza in continua evoluzione e per garantire sicurezza, anzichè sostare su algoritmi già troppo noti, c’è bisogno di continuo aggiornamento dei protocolli.
Mario Schiano
