{"id":2743,"date":"2011-06-09T12:59:08","date_gmt":"2011-06-09T12:59:08","guid":{"rendered":"http:\/\/www.lamorbidamacchina.com\/ssssimone\/?p=2743"},"modified":"2011-06-09T12:59:08","modified_gmt":"2011-06-09T12:59:08","slug":"2743","status":"publish","type":"post","link":"https:\/\/www.lamorbidamacchina.com\/ssssimone\/2743\/","title":{"rendered":""},"content":{"rendered":"<p><a href=\"http:\/\/cavallette.noblogs.org\/files\/2011\/06\/sid700.jpg\"><img loading=\"lazy\" decoding=\"async\" src=\"http:\/\/cavallette.noblogs.org\/files\/2011\/06\/sid700-150x150.jpg\" alt=\"\" width=\"150\" height=\"150\"><\/a>di Marco Calamari<\/p>\n<p>\u00ef\u00bb\u00bf\u00ef\u00bb\u00bf\u00ef\u00bb\u00bf\u00ef\u00bb\u00bfUn bell\u2019esempio di irresponsible non-disclosure.<br \/> Pare che in marzo una intrusione informatica in RSA Data Security, notissima azienda che si occupa di sicurezza informatica, abbia portato alla  sottrazione di un database dei seed di tutti i token OTP prodotti.<br \/> I token OTP sono quegli aggeggini che visualizzano una password numerica di 6 cifre e la cambiano una volta al minuto; li usano alcune banche e molte grandi aziende per rafforzare la sicurezza dei login.<br \/> Questo database non avrebbe nemmeno dovuto esistere, ma questo esula dalle considerazione qui esposte.<br \/> In pratica oltre ad un PIN scelto dall\u2019utente, per loggarsi ad un sistema che usi questi token, l\u2019utente deve fornire anche la passsword visualizzata dal token in quel momento.<\/p>\n<p>La conoscenza del seed di un token permette di prevedere tutte le password che questo generera\u2019 in ogni momento, e quindi la sicurezza del sistema torna ad essere quelle del solo PIN, che in molte applicazioni e\u2019 di solo 4 cifre.<br \/> RSA ne ha dato vaghe comunicazioni dopo qualche giorno.<br \/> Alla fine di aprile pero\u2019 ci sono stati alcuni casi di intrusioniinformatiche in grandi aziende ad alto livello di sicurezza cheutilizzavano questi token.<br \/> Le modalita\u2019 di queste intrusioni suggeriscono che i seed dei tokenrubati siano stati in effetti utilizzati in uno schema di attaccocomplesso ma che non sembrerebbe realizzabile senza di essi.<br \/> Stiamo parlando, per essere chiari, di fornitori dell\u2019esercito americano.<br \/> Ora che gli attacchi si stanno concretizzando RSA ha iniziato a offrire ai suoi clienti la sostituzione dei token \u2026<br \/> Qui trovate quanto serve per formarvi un vostro giudizio, ma e\u2019 questo il livello di privacy e sicurezza (le due cose sono inscindibili in questo caso) che dobbiamo aspettarci?<br \/> Un po\u2019 di link sul tema:<\/p>\n<p><a href=\"http:\/\/www.informationweek.com\/news\/security\/attacks\/229301301\">\u00ef\u00bb\u00bfRSA SecurID Customers Fear Fallout From Targeted Attack On Security Firm<\/a><\/p>\n<p><a href=\"http:\/\/blogs.rsa.com\/rivner\/anatomy-of-an-attack\">Anatomy of an Attack<\/a><\/p>\n<p><a href=\"http:\/\/online.wsj.com\/article\/SB10001424052702304906004576369990616694366.html\">Security \u2018Tokens\u2019 Take Hit<\/a><\/p>\n","protected":false},"excerpt":{"rendered":"<p>di Marco Calamari \u00ef\u00bb\u00bf\u00ef\u00bb\u00bf\u00ef\u00bb\u00bf\u00ef\u00bb\u00bfUn bell\u2019esempio di irresponsible non-disclosure. Pare che in marzo una intrusione informatica in RSA Data Security, notissima azienda che si occupa di sicurezza informatica, abbia portato alla sottrazione di un database dei seed di tutti i token OTP prodotti. I token OTP sono quegli aggeggini che visualizzano una password numerica di 6 [&hellip;]<\/p>\n","protected":false},"author":2,"featured_media":0,"comment_status":"open","ping_status":"open","sticky":false,"template":"","format":"standard","meta":{"footnotes":""},"categories":[],"tags":[],"class_list":["post-2743","post","type-post","status-publish","format-standard","hentry"],"_links":{"self":[{"href":"https:\/\/www.lamorbidamacchina.com\/ssssimone\/wp-json\/wp\/v2\/posts\/2743","targetHints":{"allow":["GET"]}}],"collection":[{"href":"https:\/\/www.lamorbidamacchina.com\/ssssimone\/wp-json\/wp\/v2\/posts"}],"about":[{"href":"https:\/\/www.lamorbidamacchina.com\/ssssimone\/wp-json\/wp\/v2\/types\/post"}],"author":[{"embeddable":true,"href":"https:\/\/www.lamorbidamacchina.com\/ssssimone\/wp-json\/wp\/v2\/users\/2"}],"replies":[{"embeddable":true,"href":"https:\/\/www.lamorbidamacchina.com\/ssssimone\/wp-json\/wp\/v2\/comments?post=2743"}],"version-history":[{"count":0,"href":"https:\/\/www.lamorbidamacchina.com\/ssssimone\/wp-json\/wp\/v2\/posts\/2743\/revisions"}],"wp:attachment":[{"href":"https:\/\/www.lamorbidamacchina.com\/ssssimone\/wp-json\/wp\/v2\/media?parent=2743"}],"wp:term":[{"taxonomy":"category","embeddable":true,"href":"https:\/\/www.lamorbidamacchina.com\/ssssimone\/wp-json\/wp\/v2\/categories?post=2743"},{"taxonomy":"post_tag","embeddable":true,"href":"https:\/\/www.lamorbidamacchina.com\/ssssimone\/wp-json\/wp\/v2\/tags?post=2743"}],"curies":[{"name":"wp","href":"https:\/\/api.w.org\/{rel}","templated":true}]}}