RSA SecurID Token 800 no ha sido crackeado

Ante la noticia de que los sistemas de autenticación híbrida SecurID Token 800 de RSA habían sido comprometidos la compañía ha lanzado un comunicado oficial aclarando todo el entuerto. Según parece no sólo no han sido crackeados sino que el sistema utilizado para demostrar la vulnerabilidad es poco práctico.

Las conclusiones que RSA ha publicado en su web dejan constancia de que:

• La investigación sólo trata de la funcionalidad smartcard de SecurID Token 800. No afecta a la funcionalidad One-Time Password (OTP)
• No afecta a RSA SecurID 700 o cualquier autenticador distinto a SecurID 800
• No es un ataque útil. Los investigadores muestran un ataque que requere acceso a RSA SecurID 800 smartcard -insertada en una máquina comprometida y al PIN del usuario. En caso de que el atacante tenga la tarjeta y el PIN, no hay necesidad de utilizar ataque alguno, se tiene acceso
• La vulnerabilidad no afecta a la clave privada de la smartcard. Por tanto, la vulnerabilidad no puede llevar a extraer esa clave privada correspondiente a la pública en un certificado de usuario.

La compañía ha recomendado a sus clientes:

GUIDANCE WE ARE PROVIDING TO OUR CUSTOMERS:

• Follow best practices for end-point security. This includes ensuring that anti-malware and anti-virus are updated on end users’ devices. RSA reminds all of its customers to apply the latest OS security patches as well as the OS hardening guidelines provided by Microsoft and other operating system vendors regarding security configuration and administrative privileges for both trusted and un‐trusted users.
• Follow best practices for end user security awareness. An end user should remove the RSA SecurID 800 device from its USB port when not in use.
• Utilize PKCS #1 v2.0 with OAEP in applications that require encryption. It has been RSA’s position for some time that customers should utilize the higher PKCS #1 v2.0 standard with OAEP, which is not subject to this type of vulnerability. The RSA SecurID 800 technology supports this standard.
• Ensure that the RSA Authentication Client (RAC Client) is up to date. As a best practice, end users should use the latest middleware – the RAC 3.5.4 or higher – available since August 2011.