El ataque de los clones: pwns Investigador SecureID sistema de fichas

Análisis de RSA Security ha minimizado la importancia de un ataque que ofrece una vía potencial para clonar sus tokens de software SecurID. El ataque, desarrollado por Behrang Fouladi, analista senior de seguridad de SensePost, ofrece una vía potencial para derrotar a la unión de hardware y la protección de copia integrada en el software de RSA. Habiendo derrotado a esta protección, Fouladi posteriormente fue capaz de copiar a través de los parámetros sensibles, incluido el valor cifrado de suma importancia la semilla y otros datos asociados con un identificador de software en particular. Esto le permitió ejecutar una segunda instancia clonada de un identificador de software en un sistema separado. En una demostración, Fouladi creación de dos máquinas virtuales Windows XP, uno ejecutando una copia clonada del software de autenticación y el otro el identificador de software original. Ambos fueron en bicicleta a través de la misma secuencia de números de ocho dígitos. Sin embargo, un alto ejecutivo de RSA Security, dijo que en la práctica, el ataque sólo funciona en un PC ya está comprometida por un rootkit. Teniendo en cuenta este nivel de acceso comprometido, un atacante podría más o menos hacer lo que me gustaría de todos modos, el ejecutivo sostuvo. En esencia, RSA está diciendo que el ataque sólo es posible con el control total, a través de un rootkit, o con el acceso físico. Pero Fouladi lo niega, y dice que el malware común o de jardín, puesto en marcha de forma remota, sería suficiente. El bit de la ciencia RSA SecurID de dos factores de autenticación del sistema es ampliamente utilizado para las conexiones de acceso remoto a redes corporativas a través de redes privadas virtuales (VPN) y otras aplicaciones similares. Los usuarios se conectan a las redes corporativas con una contraseña que sólo a ellos, así como un código de identificador temporal, generado por un dispositivo de hardware o de la ficha de software. Este código de identificador, que cambia cada 60 segundos o menos, se deriva de un valor de inicialización secreto bicicleta a través de un algoritmo de cifrado. El algoritmo AES de código basado en la generación utilizado es conocido, por lo que la seguridad del sistema depende del mantenimiento de los valores de las semillas - que son diferentes para cada token - secreto. Tokens de software RSA SecureID están disponibles para una amplia gama de teléfonos inteligentes y computadoras de escritorio de Windows. Fouladi se centró en la versión para Windows de la tecnología, que (como los teléfonos inteligentes) razonó que no sería capaz de proporcionar el nivel de resistencia a la manipulación que el hardware oferta fichas. Efectivamente, descubrió una forma de clonar un identificador de software SecurID después de la ingeniería inversa de Windows versiones de la tecnología de RSA. Extrajo las claves secretas de una base de datos SQLite codificada después de eludir la protección contra copia y la protección de hardware vinculantes. Este paso fundamental se llevó a cabo, en parte, mediante el aprovechamiento de la investigación previa, como Fouladi explica. La investigación previa sobre el funcionamiento interno de Microsoft Windows DPAPI ha descifrado en línea de los DPAPI (Protección de Datos Application Programming Interface) de datos protegidos posibles. Esto significa que si el atacante fue capaz de copiar el archivo de RSA base de datos de testigo junto con las claves de cifrado principales en su sistema (por ejemplo, mediante la infección de la máquina de la víctima con un rootkit), entonces sería posible descifrar el archivo de base de datos muestra en su máquina. Posteriormente fue capaz de obtener una semilla se extrae de trabajo en otra máquina, en parte, utilizando una combinación del nombre de host y el usuario actual de Windows identificador de seguridad de la caja principal. El proceso le permitió ejecutar un generador de secuencias y generar códigos válidos en la segunda máquina. Los tokens de software que se supone estar atado a una determinada pieza de hardware. La clonación podría romper este modelo de seguridad de par en par. Si un atacante obtiene acceso a una máquina de una red corporativa, utilizando spear phishing y el malware, podría ser capaz de levantar fichas SecurID de software, el acceso a una red comprometida SecurID protegido en el proceso. Otros escenarios de ataque que ofrecen acceso directo a las máquinas robadas por ladrones o personal del hotel mentirosa también son posibles.