Vazamento na RSA Viabiliza Ataques Práticos

Eis aqui uma matéria no Wall Street Journal dando conta que a RSA finalmente admitiu que o vazamento de segredos técnicos sobre o qual eu comentei anteriormente de fato levou a ataques bem sucedidos a alguns fornecedores dos militares americanos.

Isso deixa a RSA com um olho roxo vexatório, sobretudo se compararmos o que eles disseram antes:

"While at this time we are confident that the information extracted does not enable a successful direct attack on any of our RSA SecurID customers..."

Isso não apenas dá mais crédito à minha teoria de que o material que vazou dizia respeito ao cadastro de sementes, mas também fica claríssimo que os atacantes têm meios para circunavegar toda a proteção oferecida pelo sistema. Não dá pra saber ainda a extensão exata desse poder – se ele é limitado e só funciona sob condições específicas ou se é irrestrito (ou seja, se podem "clonar" arbitrariamente qualquer token).

O fato da RSA oferecer substituir os 40 milhões de tokens por novos parece sugerir que eles acham que a falha não é catastrófica e que o negócio ainda tem conserto sem precisar de um reprojeto completo.

Resta saber o impacto para os centenas de milhares de usuários brasileiros que usam RSA SecureIDs para acessar os sites de diversos bancos brasileiros. Gostaria muito de ver os bancos prestarem esclarecimentos sobre o assunto. Se a história serve de exemplo, eles vão adiar e tergiversar até não dar mais.

Também poderia apostar que vai sugir uma nova onde de phishings via email pedindo que os usuários incautos "atualizem" seus SecurIDs.

Eu torço para que esse incidente sirva de catalisador para acabar de vez com essa infatuação com o sistema de senhas descartáveis e que possamos finalmente migrar para algo mais moderno e resistente, como assinaturas digitais.

Partes anteriores

Comentários
Aceita-se formatação à la TWiki. HTML e scripts são filtrados. Máximo 15KiB.

 
Enviando... por favor aguarde...
Comentário enviado com suceso -- obrigado.
Ele aparecerá quando os moderadores o aprovarem.
Houve uma falha no envio do formulário!
Deixei uma nota para os admins verificarem o problema.
Perdoe-nos o transtorno. Por favor tente novamente mais tarde.
Marco Carnut | 2012-04-17 14:52:56 | permalink | topo

Kembolle: nem consigo recriminar. Já houve casos de "empresas de segurança" que se deixaram invadir por vulnerabilidades clássicas como XSS ou SQLi (HBGary, por exemplo).

Kembolle | 2012-04-17 14:44:09 | permalink | topo

Tem gente que é sem noção mesmo.. blog fala sobre segurança da informação e o cara tenta fazer ataque de XSS! mas é uma piada mesmo! --'

Marco Carnut | 2011-12-07 09:07:57 | permalink | topo

Testado! XSS não funciona aqui. :)

Tímido Visitante Anônimo | 2011-11-11 12:33:56 | permalink | topo

<script>alert('teste')</script>

Marco Carnut | 2011-06-13 11:01:10 | permalink | topo

Eu também realmente preferiria que fosse sob um regime jurídico menos rebuscado (e vou falar sobre isso em um post futuro). Mas quase qualquer coisa é melhor do que como hoje está, em que o cliente tem muita dificuldade em provar o que realmente aconteceu em transações por meios eletrônicos.

Tímido Visitante Anônimo | 2011-06-08 21:47:10 | permalink | topo

Mas sem o regime jurídico da ICP-BR, com sua combinação explosiva de Art. 6°, § 1° e e Art. 10°, § 1° da MP 2200-2!