Diverse testate hanno recentemente annunciato la rilevazione e segnalazione di una vulnerabilità in token usb distribuiti ai clienti da alcune banche: una notizia apparentemente clamorosa, ma di fatto inconsistente.

Una chiave a cristalli liquidi
Molti istituti bancari consentono la gestione del proprio conto corrente, inclusa l'esecuzione di transazioni, trasferimenti e pagamenti, direttamente dal web.
La sicurezza di queste operazioni è garantita da un codice temporaneo ulteriore al semplice PIN, generato da un dispositivo elettronico (token) che in alcuni casi può essere interfacciabile al computer tramite una porta USB.

L'attacco: PIN e accesso fisico sono condizioni necessarie
È tramite quest'ultima via di connessione che un team composto da esperti di crittografia (tra cui l'italiano Lorenzo Simionato, dell'Università di Venezia) è riuscito a violare il token usb RSA SecurID.
Se il gruppo avesse impiegato un banale algoritmo brute-force, sarebbero state necessarie 215000 difficoltose reiterazioni: un numero spropositato rispetto ai soli 9400 passaggi richiesti dal codice sviluppato dai ricercatori, che tuttavia può funzionare essendo in possesso del token da forzare e del PIN dell'utenza ed esso associato.

Un puro esercizio accademico
Considerando dunque che un ipotetico malintenzionato si trovasse in queste circostanze, non ricaverebbe alcun beneficio dal violare una chiave che può già adoperare con successo senza alcuna manomissione, identificandosi al posto della propria vittima sul portale della banca.
L'esperimento condotto si riduce così ad una semplice dimostrazione, un esercizio superfluo, un esempio perfetto di attacco ridondante.

Frattale, in esclusiva per Sciax2.