Tweets by @buherablog
profile for buherator at IT Security Stack Exchange, Q&A for IT security professionals

A BitBetyár Blog

Túljártál a nagyokosok eszén? Küldd be a mutatványodat! (e-mail a buherator gmailkomra jöhet)

Full-Disclosure / Névjegy / Coming out


Promó

H.A.C.K.

Címkék

0day (110) adobe (87) adobe reader (21) anonymous (26) apple (60) az olvasó ír (49) blackhat (20) botnet (22) bug (200) buherablog (44) buhera sörözés (39) bukta (49) deface (38) dns (22) dos (29) esemény (82) facebook (26) firefox (64) flash (33) gondolat (31) google (59) google chrome (36) hacktivity (37) hírek (117) incidens (224) internet explorer (88) iphone (35) java (50) jog (22) kína (21) kriptográfia (68) kultúra (21) linux (24) malware (43) microsoft (142) móka (48) mozilla (23) office (26) oracle (40) os x (43) patch (197) php (20) politika (31) privacy (58) programozás (22) safari (34) sql injection (62) windows (85) xss (77) Címkefelhő

Licensz

Creative Commons Licenc

Puha SecurID

2012.05.23. 10:34 | buherator | Szólj hozzá!

Behrang Fouladi remek blogposztot tett közzé a szoftveres SecurID tokenek működéséről, másolási illetve klónozási lehetőségeiről. A szoftveres SecurID a hardveres (kulcstartós) megoldáshoz hasonlóan két faktoros autentikációhoz használatosak, létezésüket az okos mobil eszközök egyre nagyobb elterjedtségével indokolják. 

Fouladi a Windows-ra készült verziót kapkodta szét és talált néhány érdekességet. A gyártó szerint a szoftver tokenek eszközhöz köthetők, vagyis elméletileg nem lehet ugyanazt a tokent használni két eltérő munkaállomáson. A valóság ezzel szemben az, hogy a kötéshez használt DeviceSerialNumber paraméter Windows-on az aktuális felhasználó SID-jéből, valamint a gép hosztnevéből származik, melyek nem pusztán könnyen kitalálható (brute-force), de akár távolról lekérdezhető (DNS, RPC) adatok.

A másik közzétett módszer a token adatbázis lemásolásának és megfejtésének módját adja meg. Az álvéletlen generáláshoz használt seed illetve checksum értékek egy SQLite adatbázisban vannak tárolva, a Windows Data Protection API segítségével titkosítva a géphez illetve a felhasználóhoz tartozó mesterkulcsokkal. A gyártó szerint ez a titkosságon túl másolásvédelmet is jelent, ez azonban csak addig igaz, amíg a támadó nem rendelkezik rendszer szintű jogkörrel a szoftver tokent futtató gépen. Ekkor ugyanis az egyszerű fájlokban tárolt kulcsok triviálisan lemásolhatók a token adatbázissal együtt. Ezek birtokában a támadó tetszőleges jövőbeni időpontra kiszámíthatja a token által generált egyszeri kulcs értékét.

Mindez persze nem jelent túl nagy meglepetést a információbiztonságban járatosabbak számára: ha egy helyen van tárolva a titkosított adat és a kulcs, egy kellően erős támadó számára a titkosítás lényegében nem létezik. Fouladi leírása azonban felnyithatja azok szemét, akik eddig pusztán az RSA sales anyagaira támaszkodva alakították ki két faktoros autentikációs rendszerüket, másrészt biztonsági tesztekkor is jól jöhet egy ilyen összefoglaló a hadra fogott biztonsági szakértőknek. 

A szoftveres megvalósításból eredő gyengeségek célszerűen hardverből orvosolhatók: aki teheti, használjon TPM chipes kötést illetve titkosítást, vagy vegye meg a hardveres implementációt - és feledkezzen meg az elmúlt év eseményeiről.

Címkék: rsa securid behrang fouladi

Kommentek:

A hozzászólások a vonatkozó jogszabályok  értelmében felhasználói tartalomnak minősülnek, értük a szolgáltatás technikai  üzemeltetője semmilyen felelősséget nem vállal, azokat nem ellenőrzi. Kifogás esetén forduljon a blog szerkesztőjéhez. Részletek a  Felhasználási feltételekben és az adatvédelmi tájékoztatóban.

Nincsenek hozzászólások.