Il sito “Quanto sicura è la mia password“, offre di fare una semplice ed unica cosa: controllare la nostra password e dirci quanto è sicura. Digitando la password viene fatta una stima di quanto tempo ci vorrebbe per un attacco di forza bruta da parte di un hacker per venirne a conoscenza, impossessarsene (IMPORTANTE: anche se sono state effettuate alcune verifiche di affidabilità/sicurezza del succitato sito si consiglia di utilizzare una variante della vostra password, piuttosto che quella esatta, “just in case”). Le c.d. password stupide come ‘abc123′,’ciao’ e ‘password’ vengono segnalate come violabili quasi istantaneamente.
Sono di questi giorni le notizie relative ai cyber-attacchi a Comodo e RSA Security.
Comodo, il cui slogan è Creating Trust Online (creare fiducia online), è una Certification Authority mondiale che rilascia certificati digitali per connessioni sicure https, “utili a rassicurare” i browser/utenti che il sito che si sta visitando è realmente chi dice di essere. Comodo è stata “derubata” di alcuni certificati digitali, che fanno capo a mail.google.com, google.com, login.yahoo.com (3 SSL), login.skype.com, addons.mozilla.org e login.live.com. , dal sito http://instantssl.it/ che adesso (momento in cui è iniziata la redazione del presente post: 8 aprile 2011, ore 15:40 – GMT + 1) è “pubblicato” in stato Forbidden Code 403,
mentre arrivandoci da una ricerca su Google, compare come Errore SSL con il seguente messaggio:
È possibile che questo sito non sia quello che stavi cercando!
Hai tentato di accedere a www.instantssl.it ma in realtà hai raggiunto un server che si identifica come secure.comodo.net. Ciò potrebbe essere causato da un errore di configurazione sul server o da qualcosa di più grave. Forse un utente malintenzionato sta tentando di indurti a visitare una versione falsa (e potenzialmente dannosa) di www.instantssl.it. Ti consigliamo di non procedere.
RSA Security, anche lei società mondiale di sicurezza informatica e servizi correlati, è nota ai più per le sue chiavette OTP (One Time Password) che servono a rendere sicura, forte (STRONG), e allo stesso tempo usabile, l’autenticazione di un utente verso un servizio di rete, tipicamente i servizi di internet banking.
In questo caso, il token OTP (la chiavetta, ndr.), oltre a “mettere in sicurezza” il sistema di autenticazione più “antico” e più utilizzato al mondo di User Id e password, ormai diventato altamente insicuro, risulta essere “utile a rassicurare” il fornitore del servizio (ad es. la Banca) che chi si sta autenticando al servizio è realmente colui che dice di essere.
RSA Security, lo scorso 17 marzo 2011, ha pubblicato una lettera aperta sul suo sito aziendale indirizzata a tutti i suoi clienti, a firma del suo Presidente e AD Arthur W. Coviello, dove annuncia di essere stata vittima di un sofisticato cyber-attacco (Advanced Persistent Threat – APT), così come era accaduto a Google lo scorso anno, che ha portato alla estrazione/divulgazione di non specificate informazioni, alcune delle quali specificamente correlate ai prodotti di autenticazione a due fattori RSA SecurID e alla conseguente speculazione di mercato che milioni di token di autenticazione a due fattori potrebbero essere a rischio.
La maggior parte dei prodotti OTP si basano su un codice/chiave segreta condivisa tra la chiavetta OTP, che tipicamente usiamo per ottenere il numero per autenticarci al servizio di Internet Banking, e il meccanismo di autenticazione lato server, che verifica la validità della nostra chiave. La chiave, spesso indicata come “seed” (seme), viene utilizzata per generare le famose one-time password, valide solo in quel breve momento in cui le generiamo (di solito non più di 30 secondi), che per la loro natura “one-time” e la breve durata, sono diventate sinonimo di garanzia di irrobustimento della sicurezza, per i processi di autenticazione/certificazione.
Nella generazione sicura, distribuzione sicura, conservazione, o non conservazione, sicura, e protezione sicura di queste chiavi, non a caso segrete, risiede il “senso della vita”, o mission per gli amanti del “linguaggio business”, delle società che si occupano di sicurezza informatica negli specifici ambiti dei processi di autenticazione/certificazione.
Quando qualcuno di noi schiaccia il pulsantino del suo token OTP, sta affidando la sua autenticazione, e conseguentemente la sicurezza dei suoi dati, al numero/codice generato. La fiducia riposta nel codice OTP è mutuata da analoga fiducia che l’organizzazione (banca o altri), che ci ha dato lo strumento per autenticarsi, ripone nella società di sicurezza informatica a cui si è affidata per i suoi sistemi di c.d. autenticazione forte, strong authentication, o autenticazione a due fattori.
La frase che abbiamo sentito spesso ripetere da chi si occupa di sicurezza delle informazioni è che “il dato sicuro al 100% è quello che non c’è!”. Nel momento stesso in cui una società di sicurezza informatica crea una “chiave segreta”, in cascata si dovrà preoccupare di come andare a proteggere “l’algoritmo genesi”, o come detto più su il “seed” (seme), come andare a spedire, consegnare e attivare le chiavi in maniera sicura e a “prova di furto”, e come conservarle in maniera protetta e a “prova di scasso”.
Per quanto ci è dato sapere, possiamo constatare che è in atto un attacco mirato a delle specifiche organizzazioni con il fine di acquisire l’accesso ai dati riservati delle stesse, e con l’obiettivo di mantenere l’accesso ai dati per un periodo di tempo esteso, rispetto al momento della violazione iniziale.
Le conseguenze per la sicurezza e per l’operatività che una minaccia così persistente può determinare sono facilmente immaginabili!
“Credo che ci troviamo a un punto di svolta. In questo momento siamo di fronte al principio di un nuovo mondo: in quello del passato c’erano solo i cyber-criminali; ora, invece, temo che questa sia l’Era del cyber-terrorismo, delle cyber-armi, delle cyber-guerre”
Eugene Kaspersky, cofondatore e CEO di Kaspersky Lab
Articolo interessante.
Vorrei cogliere l’occasione per fornire qualche informazione in più e per rispondere alle domande che l’articolo solleva, che sono anche le domande che le aziende ci stanno facendo in questi giorni.
Utilizzo quindi il formato di una FAQ, che mi sembra il più adatto.
o Come vengono generate le chiavi segrete dei token Vasco DIGIPASS (seed)?
– VASCO genera le chiavi segrete in modo casuale.
– Ogni DIGIPASS viene programmato singolarmente con il suo specifico seed segreto.
o Viene utilizzata una “master key” ?
– VASCO non utilizza “master key” nè altri meccanismi di “key derivation” per la generazione delle chiavi segrete.
– I seed sono casuali, non sono quindi il risultato di un calcolo matematico basato su master key e sul numero seriale del dispositivo.
o VASCO distrugge i seed dei DIGIPASS una volta che questi vengono consegnati ai clienti ?
– VASCO distrugge i seed e ogni dato relativo ai DIGIPASS, quando richiesto dal cliente. Per fare questo abbiamo una speciifoca procedura che i nostri clienti possono attivare contattando il loro riferimento commerciale o il supporto tecnico.
– Molti clienti si affidano a VASCO per poter riavere i seed in caso di loro perdita accidentale, per questo motivo la procedura standard prevede che vengano conservati.
o Come protegge VASCO le chiavi segrete dei DIGIPASS, per il tempo che sono conservate ?
– le chiavi segrete dei DIGIPASS vengono conservate su sistemi dedicati, collegati tra loro da un rete autonoma.
– questa rete è indipendente, NON è collegata a nessun’altra rete, e ovviamente non ad Internet.
– i sistemi e la rete sono protetti da un sistema per la prevenzione del furto di informazioni (data leakage prevention, DLP) che limita notevolmente le possibilità di sottrarre dati da una rete indipendente e inoltre logga tutti i tentativi di “trasferimento” dei dati.
– i sistemi e la rete sono collocati in un edificio con elevate misure di sicurezza, tra cui controllo accessi con badge e chiavi fisiche, videosorveglianza, caveau, e altri sistemi di sicurezza.
o Come vengono protette le chiavi segrete dei DIGIPASS durante il trasferimento ai clienti ?
– VASCO offre ai clienti la possibilità di scegliere tra un gran numero di possibilità per la protezione del file delle chiavi segrete, che viene chiamato DPX.
– Di deafult il file DPX viene sempre criptato con quella che viene chiamata la DPX-Transport-Key
– Il DPX-file può essere protetto ulteriormente, richiedendo:
– crittografia con PGP
– crittografia con chiave residente su Hardware Security Module (HSM)
– crittografia con chiave derivata da password, utilizzando ad esempio WinZip
– La DPX-Transport-Key può essere protetta utilizzando uno dei seguenti meccanismi:
– key-sharing, basato sulla distribuzione delle parti della trasport key a diversi custodi
– crittografia con chiave residente su Hardware Security Module (HSM)
– crittografia con chiave derivata da password, utilizzando ad esempio WinZip
Queste, in sintesi, sono best-practice di sicurezza che VASCO adotta per proteggere le componenti di sicurezza dei suoi clienti e che possono essere divulgate.
Per chi non conosce VASCO:
VASCO è il leader mondiale nelle soluzioni per l’autenticazione forte degli utenti e per la sicurezza delle applicazioni e delle transazioni online. Con una base clienti di oltre 10.000 aziende in più di 100 paesi nel mondo, tra le quali oltre 1.500 istituzioni finanziarie internazionali, VASCO è leader indiscusso nei mercati della finanza, dell’e-gaming, dell’e-government e dell’e-commerce.
VASCO si impegna a fornire ai propri clienti un porfolio di soluzioni di autenticazione con il minor costo complessivo di proprietà (TCO) e che viene costantemente ampliato e migliorato per rispondere al meglio alle necessità dei mercati e-finance, e-gaming, e-governement, e-commerce ed enterprise.
Grazie mille Richard per averci illuminato sul mondo del “two factors authentication”, che per un motivo o per un altro (motivi di riservatezza/sicurezza?) è sempre un po’ mantenuto sottotraccia. Rimango convinto che per quanto concerne la meglio nota strong authentication, ad oggi si può ragionevolmente considerare come il sistema più sicuro e usabile per poter effettuare connessioni IN SICUREZZA a siti e dati accessibili via rete. E’ interessante apprendere dal tuo “racconto” di come e di quanti siano i passaggi e gli elementi da tenere sotto controllo e ben protetti affinché non si creino delle falle nel sistema, che come sembrano testimoniare i recenti fatti possono portare a gravi conseguenze per la sicurezza e per l’operatività. Senza voler essere paranoici, va detto che la maggior parte delle persone non si rende conto di quanto sia facile violare un sistema non, o poco, protetto, se quel sistema viene preso di mira, ergo ben venga un po’ di acculturamento sul tema, per giunta qualificato.
segnalo un servizio online che eroga “strong password” basate sul dizionario di lingua italiana con + di 4.000.000.000 di combinazioni!
Il sito non logga l’ip delle richieste e l’algoritmo di cotruzione delle password è totalemnte casuale.
http://www.dimmiunapassword.com
è un webservice WCF usabile facilmente anche con powershell 2.0. Sono disponibili i downloads di una semplice applicazione per .net 2.0 o 4.0.
tutte le password sono “strong” e di facile memorizzazione
il serzivio è gratuito.
per info conttattare dimmiunapassword@bar971.it