Molti di noi utilizzano il token otp per generare il codice di accesso per il proprio homebanking, pochi immaginano la presenza di menù e infomazioni varie. Proviamo a dare uno sguardo più approfondito al nostro token, per praticità utilizzerò quello che mi fornisce la mia banca, un modello Vasco Digipass and Go, brandizzato dalla banca.
Premendo il pulsante presente sul token si genera il codice di accesso per l'homebanking, se teniamo premuto il pulsante dopo qualche secondo compare un menù con 3 voci
SECONDS
BATTERY
ID


In corrispondenza di ognuna di queste  si pussono vedere i seguenti dati:

SECONDS->SEC FT xxxxxxxxxx (numero di 10 cifre che cambia nella sola parte finale)

BATTERY-> xx (numero di due cifre; fra una prova e l’altra rimane costante)
ID ->dp xxxxxxxxxx (numero di 10 cifre che rimane costante)

Presumibilmente i dati sono riconducibili ai seguenti

SECONDS->SEC FT xxxxxxxxxx Potrebbe trattarsi del clock del dispositivo , la sigla fa pensare a Seconds Floating Time
BATTERY-> xx  questa è certamente il livello di carica della batteria incorporata
ID ->dp xxxxxxxxxx questa è l’ID della chiave di tratta di un modello nel caso in esame, digipass, identificato dalla sigla dp, e il numero di 10 cifre è il seriale.

Ora indipendentemente dal modello di otp time o event based  quello che desta la mia attenzione e, da esperto di sicurezza, la mia preoccupazione è il fatto che questi dati (sec ft xxxxxxxxxx e dp xxxxxxxxxx )a cui tutti possono avere accesso, siano utilizzati per la generazione della sequenza token. Se questi dati rappresentassero un input per la generazione della sequenza otp si potrebbe interpolando un gran numero di rilevazioni approssimare l’algoritmo di generazione dei token e "indovinare" le password generabili da un token.

Un'altro aspetto estremamente interessante è nascosto nella parte posteriore del token dove sotto l'etichetta sono presenti 6 fori di cui non comprendo l’utilità. Infatti se fossero per evitare l'accumuolo di umidità sul circuito non dovrebbero essere tappati dall'etichetta; mi viene quindi da pensare che  possano essere una porta di accesso al circuito stampato della chiave.
Non provate ad aprire il vostro token perchè si autodistruggerà e non potrete più usarlo per l'accesso all'homebanking tantomeno per fare le vostre indagini. Non so se i token sono protetti come le smartcard da scansioni a raggi x che ne rilevino la struttura; magari in una prossima puntata trovando un'apparecchiatura adeguata faccio questa verifica.