[Owasp-natal] [InfraRN] Como mitigar ataques de duplicação (replay)

Eduardo Coelho eduardocoelholima em gmail.com
Sexta Dezembro 6 17:03:30 UTC 2013


Caro chará,

Existe um conhecido recurso usado no armazenamento de senhas que é o "salt"
(tradução literal: sal). Tentando explicar de forma ultra simplista,
consiste em uma string a ser adicionada à entrada de uma função
criptográfica/hash, para garantir que duas senhas iguais gerem saídas
diferentes. O salt não precisa ser mantido em segredo, mas precisa ser
único para cada usuário.

Este recurso é usado principalmente para evitar ataques a bancos de hashs
de senhas usando "rainbow tables", que é basicamente uma tabela computada
com saídas da função hash e entradas possíveis (lembrando que funções hash
normalmente aceitam entradas de qualquer tamanho e saídas de tamanho fixo).

No caso específico que você levantou, existem ainda a questão do canal de
troca de dados. As técnicas de spoofing e de man-in-the-middle podem ser
usados para tentar um ataque de replay. A principal linha que vejo como
possível para mitigação para estes riscos seria através da proteção do
canal de comunicação, por exemplo, uso de PKI e criptografia, buscando a
fórmula autenticidade/não repúdio, integridade, confidencialidade,
disponibilidade [1].

[1] http://en.wikipedia.org/wiki/Information_security#Key_concepts













# Eduardo Coelho Lima
# http://www.coelho.pro.br


2013/12/6 Eduardo Santos - Barros <cebsjg3ster em gmail.com>

> Companheiros (as), boa tarde!
> Estava estudando sobre criptografia aqui e fiquei com uma dúvida em
> relação a como mitigar ataques de repetição (replay).
>
> Observem essa situação no qual desejo enviar um comando de um chute em um
> jogo (video game), essa mensagem é criptografada com criptografia simétrica
> (DES, por exemplo) no qual apenas o jogador (Alice) e o jogo (Bob) detêm a
> chave.
>
> Caso uma terceira pessoa (Carlos) intercepte o comando do chute
> (criptografado), ele não sabe o que é, mas ai reenvia o comando, o que
> acontece com o jogo (Bob), irá chutar? Carlos consegue fazer isso?
>
> Eu acredito que sim, pois nesse caso não há certificado digital. Sei que
> existe a assinatura digital, porém essa também é enviada pelo mesmo meio do
> comando.
>
> Ainda não consegui entender como mitigar isso. Mas sei que existe.
> Detalhe, gostaria que fosse o mais próximo do tempo real possível.
>
> Se alguém poder auxliar ai, fico grato.
> Abraços!
>
> --
> Que a graça e a paz que excede todo o entendimento seja com todos, para
> todo o sempre...amém!!!
>
> --
> Você está recebendo esta mensagem porque se inscreveu no grupo "InfraRN"
> dos Grupos do Google.
> Para cancelar a inscrição neste grupo e parar de receber seus e-mails,
> envie um e-mail para infrarn+unsubscribe em googlegroups.com.
> Para postar neste grupo, envie um e-mail para infrarn em googlegroups.com.
> Visite este grupo em http://groups.google.com/group/infrarn.
> Para obter mais opções, acesse https://groups.google.com/groups/opt_out.
>
-------------- Próxima Parte ----------
Um anexo em HTML foi limpo...
URL: <http://lists.owasp.org/pipermail/owasp-natal/attachments/20131206/283942eb/attachment.html>


More information about the Owasp-natal mailing list