Cookies op Tweakers

Tweakers maakt gebruik van cookies, onder andere om de website te analyseren, het gebruiksgemak te vergroten en advertenties te tonen. Door gebruik te maken van deze website, of door op 'Ga verder' te klikken, geef je toestemming voor het gebruik van cookies. Wil je meer informatie over cookies en hoe ze worden gebruikt, bekijk dan ons cookiebeleid.

Meer informatie

Onderzoekers kraken SecurID-tokens binnen 15 minuten - update 2

Door , 49 reacties

Franse beveiligingsonderzoekers hebben een methode ontwikkeld waarmee SecurID 800-tokens binnen vijftien minuten zijn te kraken. Ook een aantal andere cryptografische tokens die RSA-sleutels opslaan, zijn kwetsbaar gebleken.

Onder de kwetsbare tokens zijn de RSA SecurID 800-tokens de voornaamste. Ook een aantal andere tokens die gebruikmaken van hetzelfde protocol, is echter kwetsbaar. Daaronder zijn tokens van het Nederlandse bedrijf Gemalto, maar ook de nationale identiteitskaart van Estland.

De apparaten worden gebruikt voor het opslaan van geheime, cryptografische sleutels, die kunnen worden gebruikt om iemands identiteit te verifiëren. In de praktijk kan bijvoorbeeld een extra code worden getoond die wordt gegenereerd op basis van de sleutel en die bij het inloggen op een systeem moet worden ingevuld, naast gebruikersnaam en wachtwoord.

De Franse beveiligingsonderzoekers wisten een kwetsbaarheid in de cryptografische wrapper te misbruiken om de cryptografische sleutel te ontfutselen, blijkt uit hun onderzoeksrapport. Daarbij gebruikten ze een al sinds 1998 bekende methode, die tot nu toe werd beschouwd als in de praktijk niet bruikbaar, omdat het zeer lang kon duren voordat de sleutel werd achterhaald. Door de methode te tweaken wisten ze de tijd die nodig was om de tokens te kraken terug te brengen tot circa 13 minuten.

Vorig jaar wisten hackers in te breken op systemen van RSA, waarbij ze informatie over de werking van sleutelgenerators buitmaakten.

Update, woensdag 11:42: Volgens Marcel Snippe van RSA is de kwetsbaarheid al bekend, en wordt al langer aangeraden om over te stappen op een nieuwe, veiliger versie van de pkcs-standaard. Bovendien is de aanval weinig praktisch, stelt Snippe: zo moet een aanvaller toegang hebben tot iemands SecurID 800-token en de pincode van de gebruiker. In dat geval geeft iemand de aanvaller al volledige toegang, stelt Snippe.

Update, vrijdag 13:11: RSA benadrukt dat de hack het niet mogelijk maakt om op het apparaat opgeslagen sleutels te bemachtigen.

Door Joost Schellevis

Redacteur

26-06-2012 • 11:26

49 Linkedin Google+

Reacties (49)

Wijzig sortering
Een token geeft z'n gegevens over het algemeen pas vrij na het intikken van een wachtwoord, combinatie van "what you have and what you know" dus, net als je pinpas.
RSAid pasje heeft elke 90 Seconden een nieuw numerieke sleutel. Als je de gebruikersnaam + Token Serienummer hebt kan je het wachtwoord kraken anders wordt het nog lastig lijkt mij.

Dit houd tevens ook in dat de banken die nu zo'n Token gebruiken (Rabobank, ABN enz) ook weer opzoek zullen moeten gaan in de nabije toekomst naar een nieuwe beveiligingen methode.

De tokens die ING uitgeeft vroeger de Postbank vind ik ook niet veilig.
De tokens die ING uitgeeft vroeger de Postbank vind ik ook niet veilig.
Dat zijn one-time pads. Veiliger kan niet:
In cryptography, the one-time pad (OTP) is a type of encryption which has been proven to be impossible to crack if used correctly.
.
Het via SMS versturen van de TAN is dan wel weer dubieus uit security oogpunt, maar in ieder geval via een 2e kanaal.
De zwakte zit daar inderdaad meer in de gebruiker die
- in goedgelovigheid alle TAN-codes van zijn lijst afgeeft aan criminelen die daar hun slag mee slaan
- zijn TAN-code-lijst onzorgvuldig bewaard, dus open en bloot rond laat slingeren, kwijt/zoek raakt of zelfs verliest.

- hetzelfde apparaat gebruikt om de TAN-sms te ontvangen en te bankieren al heb je dan nog de pincodes van het apparaat en de app of op de webpagina een username en password. Het kunnen versturen van beide via sms is wel de grootste flater die ING heeft geslagen.
offtopic:
Sinds Postbank met NMB en NN tot ING geworden is, is er veel verslechterd.
Ik wijt dat een het elitaire karakter van de NMB destijds en de woekerpolis/provisie-maximalisatie-cultuur bij NN. ING bevat immers het 'DNA' van alle drie de vorige organisaties, al zie ik van de Rijkspostspaarbank/Postbank-cultuur weinig meer terug en heeft volgens mij de NN-cultuur de overhand.

[Reactie gewijzigd door BeosBeing op 27 juni 2012 09:09]

Idd, maar buiten dat het dan zeker niet onopgemerkt zal blijven ga je op een gegeven moment ook het punt voorbij of het voor de crimineel rendabel is.
Klopt, maar het hangt er ook vanaf wiens account je wilt hacken. Dat van een willekeurige chnese e-bay -verkoper of van iemand die miljarden bezit en verhandeld zoals Steve Jobs, Bill Gates e.d..
Voordat ik de challenge code krijg moet ik me overigens eerst aanmelden met mijn gebruikersnaam en wachtwoord, maar dat lijkt me logisch.
. De RSA secur-id tokens doen dit door in het paswoord veld je paswoord in te laten typen EN de response op het secur-id token. De login is dus een combinatie van wat je weet en wat je hebt in 1 keer ipv. logon en dan pas challenge response.
Gemalto een nederlands bedrijf noemen is hetzelfde als U2 een nederlandse band noemen :)

Op dit item kan niet meer gereageerd worden.


Apple iPhone X Google Pixel 2 XL LG W7 Samsung Galaxy S8 Google Pixel 2 Sony Bravia A1 OLED Microsoft Xbox One X Apple iPhone 8

© 1998 - 2017 de Persgroep Online Services B.V. Tweakers vormt samen met o.a. Autotrack en Hardware.Info de Persgroep Online Services B.V. Hosting door True

*