Hace tiempo ya hablamos de la intrusión que sufrió RSA en marzo del 2011, incluso hicimos algún relato de novela negra sobre posibles consecuencias de la misma
Ahora RSA vuelve a ser noticia porque según un artículo publicado en arstechnica, los autenticadores SecurID 800 serían vulnerables y pueden romperse.
El artículo en cuestión cuenta que se pueden extraer las claves criptográficas almacenadas en la memoria de los tokens en 13 minutos y lo adorna hablando de crackeo del dispositivo. Para quienes no lo sepan estos dispositivos (a.k.a. tokens) proporcionan un número pseudo-aleatorio que está sincronizado con una parte servidora, de tal modo que a la hora de autenticarse en un equipo o aplicación solicita, además de un PIN o clave conocida por el usuario, ésta ristra de 6 dígitos que cambian cada 60 segundos.
Este sistema recibe el nombre de One-Time Password (OTP) o clave de un sólo uso. De esta forma se obtiene lo que se denomina "autenticación de doble factor", algo que sabemos (nuestro PIN) y algo que tenemos (el token). En este caso además de la funcionalidad descrita, el dispositivo incorpora otra a modo de tarjeta inteligente (gestión de certificados).
Volviendo al tema, el ataque (consiste en dos formas ataque) está descrito en un documento que se presentará en la próxima conferencia CRYPTO 2012 que tendrá lugar en la Universidad de California en agosto y en dicho paper comentan como el problema reside en la interfaz de dispositivos criptográficos RSA PKCS#11, lo cual descartaría un problema a nivel de algoritmo OTP.
Como respuesta, RSA ha lanzado un comunicado en el que explica que la magnitud del problema no es tal debido a que el ataque, además de no afectar a las claves privadas de los usuarios, requiere unas condiciones específicas, acceso a la máquina y poseer el PIN de usuario, por las que no se requeriría vulnerar el dispositivo para obtener la información deseada.
En este intercambio de "dimes y diretes" aparece otro actor que da otra vuelta de tuerca al asunto. En éste último artículo se expone como los argumentos de RSA, que no contradice, son válidos hasta cierto punto, ya que las debilidades de los estándares PKCS involucrados pueden hacer alcanzar el mismo objetivo sin hacerse con las claves privadas: "it allows an attacker to decrypt and recover other “wrapped” keys encrypted by the token’s key pair.".
Del mismo modo que la implementación de la API del dispositivo criptográfico basado en PKCS #11 podría comprometer el PIN del usuario "...Some applications may proxy access to the token via a web frontend or other network access. An application may cache the PIN", por último menciona el autor que si bien PKCS #1 v2.0 with OAEP es seguro, RSA permite al usuario 'elegir' entre la versión vulnerable (1.5) y la que no contiene la vulnerabilidad (2.0).
Para terminar, hay que mencionar que esta vulnerabilidad no solo es cosa de RSA ya que afecta a múltiples implementaciones comerciales (como Aladdin eToken PRO, Feitian epass 2000, etc.) por lo que enfocarlo a un dispositivo en concreto, parece que obedece más a una noticia sensacionalista que a otra cosa.
El artículo en cuestión cuenta que se pueden extraer las claves criptográficas almacenadas en la memoria de los tokens en 13 minutos y lo adorna hablando de crackeo del dispositivo. Para quienes no lo sepan estos dispositivos (a.k.a. tokens) proporcionan un número pseudo-aleatorio que está sincronizado con una parte servidora, de tal modo que a la hora de autenticarse en un equipo o aplicación solicita, además de un PIN o clave conocida por el usuario, ésta ristra de 6 dígitos que cambian cada 60 segundos.
Este sistema recibe el nombre de One-Time Password (OTP) o clave de un sólo uso. De esta forma se obtiene lo que se denomina "autenticación de doble factor", algo que sabemos (nuestro PIN) y algo que tenemos (el token). En este caso además de la funcionalidad descrita, el dispositivo incorpora otra a modo de tarjeta inteligente (gestión de certificados).
Volviendo al tema, el ataque (consiste en dos formas ataque) está descrito en un documento que se presentará en la próxima conferencia CRYPTO 2012 que tendrá lugar en la Universidad de California en agosto y en dicho paper comentan como el problema reside en la interfaz de dispositivos criptográficos RSA PKCS#11, lo cual descartaría un problema a nivel de algoritmo OTP.
Como respuesta, RSA ha lanzado un comunicado en el que explica que la magnitud del problema no es tal debido a que el ataque, además de no afectar a las claves privadas de los usuarios, requiere unas condiciones específicas, acceso a la máquina y poseer el PIN de usuario, por las que no se requeriría vulnerar el dispositivo para obtener la información deseada.
En este intercambio de "dimes y diretes" aparece otro actor que da otra vuelta de tuerca al asunto. En éste último artículo se expone como los argumentos de RSA, que no contradice, son válidos hasta cierto punto, ya que las debilidades de los estándares PKCS involucrados pueden hacer alcanzar el mismo objetivo sin hacerse con las claves privadas: "it allows an attacker to decrypt and recover other “wrapped” keys encrypted by the token’s key pair.".
Del mismo modo que la implementación de la API del dispositivo criptográfico basado en PKCS #11 podría comprometer el PIN del usuario "...Some applications may proxy access to the token via a web frontend or other network access. An application may cache the PIN", por último menciona el autor que si bien PKCS #1 v2.0 with OAEP es seguro, RSA permite al usuario 'elegir' entre la versión vulnerable (1.5) y la que no contiene la vulnerabilidad (2.0).
Para terminar, hay que mencionar que esta vulnerabilidad no solo es cosa de RSA ya que afecta a múltiples implementaciones comerciales (como Aladdin eToken PRO, Feitian epass 2000, etc.) por lo que enfocarlo a un dispositivo en concreto, parece que obedece más a una noticia sensacionalista que a otra cosa.
Artículo cortesía de Ricardo Ramos
3 comments :
Me parece un poco triste que, en vez de hacer foco en la vulnerabilidad (que es razonablemente seria) en un estándar criptográfico y que afecta por lo menos a media docena de fabricantes, el foco de este artículo sea la desinformación e intentar "chupar rueda" de los ecos de la intrusión de RSA el año pasado.
La vulnerabilidad no tiene nada que ver con el protocolo SecurID, ni con los secretos para generar el OTP, sino con la funcionalidad de SmartCard que implementa el token híbdrido SID800. Pero leyendo el artículo deprisa la impresión que se lleva uno es totalmente distinta. Sólo al final se mencionan que otros muchos fabricantes de smartcards (que tienen una cuota de mercado en el sector de las smartcards muy superior a la que tiene el SID800 de RSA) también están afectados - y ni siquiera se da la lista completa de los dispositivos vulnerables (dentro de los que los investigadores probaron, que no es ni mucho menos exhaustiva): Aladdin eTokenPro, Gemalto Cyberflex, RSA Securid 800, Safenet Ikey 2032, Siemens CardOS.
Si quisiéramos dar un informe completo, sería bueno añadir que:
- El ataque no permite recuperar las claves privadas de las tarjetas
- El ataque necesita del PIN del token para poder realizarse
- El ataque permite recuperar "objetos" que se han almacenado en el token (p. ej. contraseñas de inicio de sesión)
Lo que quiere decir que el impacto real es relativamente bajo - si tengo acceso al token y al PIN, el problema real es otro.
También sería interesante comentar que el "otro" actor mencionado no es tal - es el blog de los investigadores que publican el White Paper.
Pero claro, tiene más "tirón" y visitas un artículo que dice "RSA (lo que sea) vulnerable" que "Una implementación mejorada de un ataque conocido hace explotable una vulnerabilidad en protocolo criptográfico con un bajo riesgo en el mundo real". Creo que la investigación es muy interesante, el White Paper en sí, brillante, y la forma de presentar los resultados, impecables y profesionales... El artículo de ArsTechnica me parece periodismo amarillo del peor tipo, por el enfoque que dan al tema (aunque ya han cambiado la insinuación de que se podían robar las claves privadas del dispositivo)..
Me siento un poco sorprendido que se haya optado por esta aproximación en un sitio que considero serio y de referencia.
Un saludo
DISCLAIMER: Si, estoy relacionado con RSA, pero me molesta el sensacionalismo en las noticias de tecnología.
Hola, en primer lugar gracias por tu extenso comentario.
Creo que al calor de 'los palos' que le han caído a RSA, estás excesivamente susceptible con el tema y ves fantasmas donde no los hay.
En primer lugar, no se donde ves que el título del post es tendencioso o busca 'captar visitas', creo que es justo al revés, frente a titulares agresivos como podrían haber sido 'RSA ROTO' o 'RSA ES INSEGURO', se ha optado por algo bastante mas suave.
De hecho se podría haber hecho 'foco' en el tema del clonado de tokens que ya de por si da para un post con título ¿Tienes un token RSA? Puedes ir tirándolo a la basura
En segundo lugar, no puedes insinuar -lo siento, no lo permito- que existe sesgo en este artículo, y no lo hay porque se ha enlazado debidamente a todo lo que se ha publicado al respecto, tanto al trabajo original como la respuesta de RSA y la contra-respuesta. Por lo que no creo que nadie se pueda sentir 'desinformado'. Otra cosa, como tu bien dices, es que la gente pueda 'leer por encima' o 'rápidamente' el post, pero eso ya cae dentro del interés de cada uno por invertir mas o menos tiempo. Frente a eso, poco se puede hacer.
Que tu línea argumental sea 'eh pero que hay otros', me recuerda al tipo que para la guardia civil porque ha superado el límite de velocidad y alega 'eh pues justo delante mio iba uno más rápido' No te digo que no, pero el caso es que de todos los actores implicados RSA es el mas notorio. Tener tanto peso es bueno (mas nombre = más cuota de mercado) y a la vez es malo: Si hay un problema de seguridad que te afecta, vas a salir el primero en titulares.
Mi opinión personal (mía, no del autor del post ni del resto de miembros del blog ..) es que el incidente ha sido exagerado en cuanto a las implicaciones reales, en eso te doy la razón. Pero si es absolutamente cierto que RSA ha sido negligente a la hora de implementar su solución criptográfica. Y ese es el problema real, que en un tema tan delicado como la criptografía alguien a quien se le presupone un conocimiento y una rigurosidad total, haya metido la pata.
Bien haría RSA en reconocer el fallo y solucionarlo en vez de lanzarse a una guerra dialéctica.
Estimado amigo.
Es perfectamente razonable que no te haya gustado el enfoque del artículo, para gustos se hicieron los colores, pero tratar el artículo que he escrito de “desinformación” me parece poco afortunado por tu parte, sinceramente creo que no los has leído puesto que repites muchas de las ideas que se plasman en mi artículo.
Como bien ha comentado Yago, se referencian tanto el artículo que da origen a la noticia como la contestación de RSA y las últimas matizaciones en boca de “Nate Lawson”.
Comienzas con “en vez de hacer foco en la vulnerabilidad (que es razonablemente seria) en un estándar criptográfico y que afecta por lo menos a media docena de fabricantes”. Puedo hacer más o menos hincapié en el tema, con mayor o menor detalle pero lo que está claro es que se menciona tanto lo uno (“…comentan como el problema reside en la interfaz de dispositivos criptográficos RSA PKCS#11...” y en punto posteriores del artículo se dan más detalle al respecto) como lo otro (“hay que mencionar que esta vulnerabilidad no solo es cosa de RSA ya que afecta a múltiples implementaciones comerciales (como Aladdin eToken PRO, Feitian epass 2000, etc...”).
Continuas con “La vulnerabilidad no tiene nada que ver con el protocolo SecurID, ni con los secretos para generar el OTP, sino con la funcionalidad de SmartCard que implementa el token híbdrido SID800. Pero leyendo el artículo deprisa la impresión que se lleva uno es totalmente distinta. Sólo al final se mencionan que otros muchos fabricantes de smartcards”, bueno pues bien quizás tu agilidad a la hora de leer está sobrevalorada porque digo lo siguiente “…lo cual descartaría un problema a nivel de algoritmo OTP”.
Otra perla, comentas “Si quisiéramos dar un informe completo, sería bueno añadir que:
- El ataque no permite recuperar las claves privadas de las tarjetas
- El ataque necesita del PIN del token para poder realizarse”
Y si lees el artículo dice: “… explica que la magnitud del problema no es tal debido a que el ataque, además de no afectar a las claves privadas de los usuarios, requiere unas condiciones específicas, acceso a la máquina y poseer el PIN de usuario, por las que no se requeriría vulnerar el dispositivo para obtener la información deseada”.
Dices: “También sería interesante comentar que el "otro" actor mencionado no es tal - es el blog de los investigadores que publican el White Paper”, este tipo no es el autor del paper por lo tanto creo que es legítimo considerarlo “otro actor”.
“El artículo de ArsTechnica me parece periodismo amarillo” estoy de acuerdo contigo “... por lo que enfocarlo a un dispositivo en concreto, parece que obedece más a una noticia sensacionalista que a otra cosa”.
Para terminar, no creo que se desprenda mi artículo de un “ataque” hacía RSA puesto que en el mismo trato de aclarar ideas, sobre todo lo relacionado con el crackeo del dispositivo, las falsedades sobre las claves y demás.
Un saludo,
Ricardo
Publicar un comentario