[Owasp-brazilian] retomando a discussao sobre comunicacoes inseguras

Fernando Cima fcima at microsoft.com
Sun Feb 22 10:18:37 EST 2009


Oi Nash,

> Se um sistema WEB possui um esquema de pki, isso necessariamente
>exigiria do atacante um skill maior e uma implementacao especifica
>de qualquer ataque de mitm. Os senhores concordam comigo nesse ponto?

Skill maior certamente não. Provavelmente exigiria um skill menor, porque é normalmente mais fácil encontrar uma vulnerabilidade em uma solução de nicho do que em uma solução já intensamente pesquisada como são os navegadores e servidores web com SSL.

Eu concordo que exigiria uma implementação específica. Mas isso é uma vantagem? Talvez contra algum ataque automatizado ou de ocasião, mas não muda muita coisa contra um ataque direcionado. 

Mal-comparando, se a sua aplicação precisar de uma cifra simétrica, você preferiria usar o AES-256 ou um algoritmo "Leon-Cima" criado especialmente para a aplicação? 

> Um atacante poderia sim enviar uma pagina sem nada disso e enganar o usuario
> capturando em modo limpo, isso eh outro cenario..

Não, na verdade eu acho que é o mesmo cenário. A solução que você está propondo estaria sujeito a um ataque essencialmente similar ao que foi demonstrado na BlackHat.

Abraços,

- Fernando Cima

-----Original Message-----
From: owasp-brazilian-bounces at lists.owasp.org [mailto:owasp-brazilian-bounces at lists.owasp.org] On Behalf Of Nash Leon
Sent: Friday, February 20, 2009 7:44 PM
To: owasp-brazilian at lists.owasp.org
Subject: Re: [Owasp-brazilian] retomando a discussao sobre comunicacoes inseguras


Prezado Fernando Cima e colegas da lista,

Nao devemos ver minha sugestao como a solucao do problema de man-in-the-middle, longe disso.. mas apenas como uma mitigacao ao problema
reportado(envio de dados sensiveis em modo limpo, passivel de simples
captura - item 09 - communicacao insegura do top 10). Uma recomendacao
a mais do que simplesmente confiar em SSL.

Se um sistema WEB possui um esquema de pki, isso necessariamente
exigiria do atacante um skill maior e uma implementacao especifica
de qualquer ataque de mitm. Os senhores concordam comigo nesse ponto?

Eh nisso que quero tocar.. nao nos demais cenarios, como bem citado
pelo Thiago, os ataques homograficos jah seriam outro problema.

Vejamos a questao do applet.. digamos que o site do banco X implementa
um applet que criptografa os dados usando um algoritmo de pki. Um
atacante poderia sim enviar uma pagina sem nada disso e enganar o usuario
capturando em modo limpo, isso eh outro cenario.. mas ele nao poderia
implementar um simples proxy/sniff que soh redireciona trafego, pois nesse caso, mesmo sendo HTTP, os dados iriam cifrados.

Se uma ferramenta de ataque(sslproxy/sniff) for publicada, ela deverah ser generica, e seguranca por profundidade nesse caso, acredito que serah
bem vinda.

Mas concordo com os senhores, pra resolver esse problema, vamos
precisar de navegadores mais inteligentes e sistemas web mais interativos.
Quem sabe programacao dinamica nao seja um opcao futura?

Um cordial abraco,

NL.

--- Em sex, 20/2/09, Fernando Cima <fcima at microsoft.com> escreveu:

> De: Fernando Cima <fcima at microsoft.com>
> Assunto: RE: [Owasp-brazilian] retomando a discussao sobre comunicacoes inseguras
> Para: "nashleon at yahoo.com.br" <nashleon at yahoo.com.br>, "owasp-brazilian at lists.owasp.org" <owasp-brazilian at lists.owasp.org>
> Data: Sexta-feira, 20 de Fevereiro de 2009, 18:27
> Caro Nash,
> 
> Desculpe, para mim ainda não está claro. Na sua idéia,
> como o cliente estaria recebendo e validando este applet?
> 
> Abraços,
> 
> - Fernando Cima
> 



      Veja quais são os assuntos do momento no Yahoo! +Buscados
http://br.maisbuscados.yahoo.com
_______________________________________________
Owasp-brazilian mailing list
Owasp-brazilian at lists.owasp.org
https://lists.owasp.org/mailman/listinfo/owasp-brazilian



More information about the Owasp-brazilian mailing list