Muchas empresas apoyan su estrategia de autenticación de identidad en Yubikey Key. Este material Fido (Fast Identity Online) es uno de los más populares y uno de los mejores calificados para MFA (autenticación con varios factores). Sin embargo, como parte de un ataque recientemente identificado, llamado "eucleak", el dispositivo USB ha demostrado ser vulnerable a la clonación cuando los ciberdelincuentes lo ponen físicamente sobre él, ya que luego pueden acceder a la información de identificación FIDO del usuario al liderar un ataque de Canal auxiliar (canal lateral).
Esta semana, Yubico, que fabrica estas llaves, Publicado una opinión Sobre esta falla descubierta por un investigador francés, Thomas Roche, cofundador de la nueva empresa Ninjalab, especializada en criptografía. Detalló en un informe los detalles del ataque. Yubico describió la gravedad del defecto "moderado". Pero, dado que es imposible actualizar el firmware Yubikey, el equipo sigue siendo definitivamente vulnerable. "Esto muestra que los elementos seguros no son perfectos y que su seguridad debe ser cuestionada continuamente, pero muy pocas personas tienen en cuenta este aspecto inherente a la seguridad", dijo el experto.
Claves, consideradas más seguras para MFA
Las empresas están implementando cada vez más la autenticación multifactorial para fortalecer sus defensas contra ataques cibernéticos cada vez más numerosos. Las claves a menudo se consideran más seguras (y menos costosas) que las herramientas de software, porque si un hacker roba la información de identificación de la cuenta de un usuario, siempre necesita token, que está (o debería estar) físicamente en manos de su propietario legítimo.
Yubikeys, como todos los dispositivos FIDO, son un "factor de autenticación", dijo Thomas Roche. "Pueden desempeñar el papel de un segundo factor de autenticación (además de un inicio de sesión/contraseña) o un factor único (Como en los recientes pases). En su informe, escribe que los dispositivos están sujetos al más alto nivel de evaluación de seguridad existente y que generalmente se consideran "inviolables", incluso en los peores escenarios. Por lo tanto, "los sistemas seguros complejos basan su seguridad en estos escenarios".
Un dispositivo que cloniza el conocimiento del usuario
Aunque muy extendidos, estos dispositivos claramente no son inviolables. Con el canal lateral del recientemente descubierto yubikey, los cibercriminales pueden acceder a fugas de señal desde un sistema criptográfico en el dispositivo. Thomas Roche explicó que las fugas laterales del canal están vinculadas a la física del semiconductor y "que no pueden evitarse". Su prevención requiere contramedidas específicas, a menudo caras. En un escenario de ataque exitoso, un actor malicioso puede robar el identificador y la contraseña del usuario (por phishing u otros métodos), luego obtener acceso físico a su token sin que él lo sepa. Después de lo cual podrá enviar solicitudes de autenticación al token al registrar medidas en el token lateral. Una vez que se devuelve el sistema, puede lanzar un canal lateral para extraer el algoritmo de firma digital con la curva elíptica (algoritmo de firma digital de curva elíptica, ECDSA) vinculado a la cuenta y acceder a la cuenta sin detectarse. "Suponga que un pirata logra robar el yubikey de un usuario, lo abre para acceder a la tarjeta lógica, aplica el ataque Eucleak y reacondiciona el Yubikey original sin el conocimiento del usuario, puede crear un clon de su factor de autenticación, es decir, es decir una copia de su Yubikey", dijo el experto. "El usuario pensará que está a salvo, mientras que este no es el caso".
La falla criptográfica se encuentra en un pequeño microcontrolador del dispositivo y afecta a todas las yubikeys y claves de seguridad utilizando una firme antes de la versión 5.7, publicada en mayo. También se refiere a las versiones de la clave YUBIHSM 2 antes de la versión 2.4.0 publicada esta semana. El Sr. Roche recordó que los atacantes deben estar en posesión física de una llave y tener equipos especializados a menudo caros de ver la operación vulnerable. También pueden necesitar información adicional, incluido un nombre de usuario, contraseña o VPN. Además, los actores de amenaza deben tener en profundidad el conocimiento de la ingeniería para llevar a cabo tal ataque. En la gran mayoría de los casos, el RSSI no debe preocuparse por el ataque Eucleak. De hecho, este ataque generalmente se dirige a personas específicas de una administración o una organización. No es "técnicamente muy complicado", sino "logísticamente muy difícil". "Requiere un esfuerzo considerable para un solo objetivo y debe replicarse para cada objetivo", continuó.
Reemplace las teclas (pero esta no es la única opción)
Los usuarios deben verificar su yubikey para ver si se ha visto afectado. Thomas Roche aconsejó a las empresas que continúen utilizando dispositivos vulnerables en lugar de ir a herramientas alternativas sin mecanismos de seguridad. Si la compra de una nueva clave es una opción viable, hay otras soluciones temporales. Estos incluyen evitar completamente el algoritmo de firma digital con la curva ECDSA elíptica y optar por otros algoritmos de cifrado de bajo nivel, como el algoritmo digital Edwards-Signature (EDDSA), una variante de la cripta críptica críptica críptica o el Rivest-Shamir-Adleman (RSA). su evidencia. Otra opción es aplicar protocolos adicionales como códigos PIN o biometría.
Las herramientas de firma y control de registros también se pueden usar para detectar clonées FIDO. Esto permite que un servicio web protegido por FIDO invalida las solicitudes y bloquee las cuentas si se detectan señales sospechosas, reduciendo así la capacidad del clon a un período de tiempo limitado. Thomas Roche señala que, incluso si este método de atenuación desafortunadamente no es obligatorio, es útil para identificar, bloquear y asegurar cuentas. Finalmente, según él, siempre es más seguro usar yubikeys u otros productos vulnerables que no usarlo.
Otras noticias que te pueden interesar