[Owasp-brazilian] retomando a discussao sobre comunicacoes inseguras

Nash Leon nashleon at yahoo.com.br
Fri Feb 20 09:57:32 EST 2009


Como vai, pessoal?

Voces devem estar acompanhando as discussões sobre os truques de man-in-the-middle contra SSL divulgados na BlackHat:

https://www.blackhat.com/presentations/bh-dc-09/Marlinspike/BlackHat-DC-09-Marlinspike-Defeating-SSL.pdf 

Esse é mais um caso que demonstra a necessidade de se pensar em segurança
em profundidade, levando novamente a questionarmos se é seguro deixar  
toda a segurança dos dados sensíveis nas mãos da infraestrura, nesse caso 
SSL.

Percebam claramente que se uma aplicação implementar PKI, ela própria
(via javascript,via applet java, etc), esses problemas não seriam tão
facilmente explorados. Exigiria um skill e uma dedicação maior do atacante 
do que simplesmente empurrar um proxy num ataque de MITM forçando http ao 
invés de https.

Os dados transitando em HTTP seriam também criptografados. A princípio,
um atacante no meio do caminho não conseguiria capturar senhas, hashes
estáticos e etc... apenas dados cifrados.

Obviamente, que o uso de PKI direto na aplicação não resolveria todos
os problemas de MITM, no entanto, se usado de forma inteligente,
eliminaria qualquer ataque genérico de captura de dados como os
citados nessa palestra.
 
Acho que já está na hora de se discutir medidas mais seguras para
as aplicações que não dependam da infra-estrutura, como nesse caso
do SSL. Outros ataques de SSL devem se tornar públicos em breve,
logo seria sábio a implementação de contra-medidas para atenuar os
problemas que esse recurso de infra-estrutura irá causar
na segurança da aplicação.


Um cordial abraço,

Glaudson Ocampos aka Nash Leon.


      Veja quais são os assuntos do momento no Yahoo! +Buscados
http://br.maisbuscados.yahoo.com


More information about the Owasp-brazilian mailing list