Razkrit nov napad na RSA SecurID

Varnostni mehanizem RSA SecurID se uporablja za dvonivojsko avtentikacijo. Tu mora uporabnik za dostop, poleg uporabniškega imena in gesla, vnesti še enkratno geslo. Ta lahko pri tem uporablja tako fizičen kot programski generator enkratnih gesel. Slednji pa se je žal pred kratkim izkazal za zelo ranljivega.

Varnostni strokovnjak Behrang Fouladi iz podjetja SensePost je namreč razkril postopek, s katerim je mogoče na relativno enostaven način izdelati »kopijo« programskega generatorja enkratnih gesel RSA SecurID. Ta je dejansko razkril način, kako prelisičiti tako zaščitni mehanizem, ki preprečuje kopiranje ključa kot zaščito poznano pod imenom “vezava žetona”. Če napadalcu tovrsten podvig uspe, lahko s programskim generatorjem enkratnih gesel RSA SecurID dostopa do zaščitenih vsebin.

Za uspešno izvedbo napada na programski generator enkratnih gesel RSA SecurID je predhodno seveda potrebno pridobiti dostop do žrtvinega računalnika ali mobilne naprave. To se lahko doseže tako s fizičnim dostopom do žrtvine naprave kot z okužbo računalnika ali mobilne naprave s škodljivo programsko kodo. Ta napad je izjemno težko izvesti le na tistih računalnikih, ki so opremljeni z varnostno platformo Trusted Platform Module. Postopek kloniranja programskega generatorja enkratnih gesel RSA SecurID je varnostni strokovnjak Behrang Fouladi objavil na spletnem naslovu http://goo.gl/k1l2l.