Sulla vulnerabilita` delle chiavi generate algoritmicamente

Usare metodi algoritmici per creare le password e` sempre stato comodo per chi deve distribuire migliaia di apparati che poi devono essere gestiti in qualche modo, pero` si e` anche sempre rivelato un errore, nel momento in cui qualcuno ha scoperto e pubblicato l’algoritmo.

Leggo oggi (la notizia e` di qualche giorno fa) che e` stato scoperto l’algoritmo usato per ricavare la chiave WPA degli HAG fastweb, generata partendo dal MAC address degli stessi. Se ne avete uno, vi consiglierei di cambiare la password WPA di default. Vedasi http://wifiresearchers.wordpress.com/2010/09/09/telsey-fastweb-full-disclosure/

Altri casi simili che mi vengono in mente sono, per esempio: I router Alice (almeno le prime serie), I router alcatel One Touch Pro (e Home), e piu` o meno tutte le autoradio che hanno un “lock code” che si attiva se si stacca l’alimentazione elettrica. Per tutte queste password algoritmiche e` possibile trovare su internet la documentazione su come calcolarle partendo dal MAC address o dal numero di serie del dispositivo, rendendole di fatto inutili.

Ma nella storia della sicurezza c’e` stato anche di peggio, come i vecchi router Telindus (usati da Telecom per le ADSL Smart una decina di anni fa) che davano a chiunque la chiedesse la propria password in chiaro, anche sulla interfaccia WAN. Quando, durante una analisi di sicurezza per un cliente, scoprii questo piccolo problemino, contattai la Telindus, questa (dopo avermi accusato di essere un criminale che voleva estorcere loro dei soldi) pubblico` una patch: la password veniva fornita lo stesso, ma “crittata” con un XOR. Bel tentativo. Per fortuna oggi quei router non sono piu` utilizzati.

Autore: Kurgan

Sistemista Linux con la fissa della sicurezza

2 pensieri riguardo “Sulla vulnerabilita` delle chiavi generate algoritmicamente”

  1. Sto sviluppando un sistema di autorizzazioni di accesso per una PA. Sono riuscito a convincere il committente che l’unico sistema valido per avere un “codice di controllo” sicuro per verificare la validita’ dell’autorizzazione e’ la tecnica del “one-time pad”. Li’ non ci sono algoritmi di calcolo, se non il randomizzatore del computer che genera il codice.

Spazio per un commento