[Owasp-portuguese] Fwd: A mighty fortress is our PKI

Nuno Loureiro nuno at sig9.net
Fri Jul 23 12:29:33 EDT 2010


On Jul 23, 2010, at 17:01 , Bruno Morisson wrote:

> 
> 
> Concordo a 100%. Também me parece exagerado dizer que o SSL é irrelevante.. Mesmo para o utilizador comum e com os problemas todos de autenticação, o SSL não deixa de oferecer um certo número de protecções contra um determinado número de ataques.
> 
> 
> Certo, mas digo irrelevante porque estou plenamente convencido que o average joe se está nas tintas para o cadeadozito. Aliás, basta ver alguma da pesquisa do Moxie Marlinspike (nao tenho agora presente exactamente qual a apresentação que tem esses dados, mas existe) em que ele testou fazer um MITM retirando SSL dos sites (i.e., o user ia a https://www.banco.foo/ e através de MITM redireccionava-o para http://www.banco.foo/, e o qual era apenas um proxy controlado por ele) e a percentagem de sucesso (i.e. users que utilizaram o site sem notar) era impressionante.
> 
> Ou seja, há um problema sério de educação dos utilizadores, o qual os certs EV ajudam a minimizar pelas características visuais que aparecem no browser (o aviso de SSL é bastante mais vísivel que o SSL normal, o que acho idiota, mas isso é outra discussão), mas por outro lado a emissão de certificados é uma bandalheira, como se vê.
> 
> Resumindo, e pegando na questão da cifragem vs autenticação, para autenticação cada vez mais se comprova que deixam muito a desejar, em relação a cifragem, se o utilizador não nota, e é vulneravel a MITM, afinal qual é a utilidade ? Acho que continuamos a "confiar" no SSL apenas porque achamos que um ataque real é pouco provável.
> 
> Para provar o meu ponto: se fizerem um MITM a um site de um banco nas vossas organizações (com downgrade de SSL para clear), qual acham q vai ser a taxa de sucesso do ataque ?

Eu conheço a apresentaçao do Moxie, que basicamente apresenta todos os problemas de SSL (ou melhor de HTTPS), de uma forma excelente e simples.
O que eu disse foi que é um pouco extremo dizer que SSL não serve para nada. Apesar de todos os problemas, continua a oferecer um certo número de protecções para um determinado número de ataques . Os ataques referenciados pelo Moxie têm certos pré-requisitos e há muitos outros tipos de ataques que deixam de ser possíveis se usarmos SSL, que não têm pre-requisitos nenhuns e que são faceis de concretizar. That's it. :)

Mas claro que concordo que para resolver os problemas de HTTPS há um longo caminho a percorrer e uma grande parte desse caminho tem de ser resolvido a nível do browser, outra grande parte pelos users e outra parte pelos sysadmins. Ajudava que todos os browsers tivessem uma forma standard, comum e que sobretudo não mudasse a cada ano, de mostrar ao user que o site está seguro com SSL e que o certificado é valido. Também ajudava que o primeiro hit a um site (sem especificar protocolo) fosse parar a HTTPS no caso deste existir. O Collin Jackson tem desenvolvido trabalho nessa area - ForceHTTPS - mas mesmo isso não me parece suficiente. Há também um projecto interessante - Perspectives - desenvolvido em CMU, que usa um conceito de notários para guardar histórico e validar  certificados (ao ver se as assinaturas destes alteram ao longo do tempo e/ou de localizações diferentes).

ForceHTTPS - https://crypto.stanford.edu/forcehttps/
Perspectives - http://www.cs.cmu.edu/~perspectives/



----
Nuno Loureiro <nuno at co.sapo.pt>
Portugal Telecom - SAPO - http://www.sapo.pt/

PGP fingerprint =3D 8A32 5174 E80C 2D40 9075 405E C107 6592 054A 4D05
http://keyserver1.pgp.com/vkd/DownloadKey.event?keyid=3D0xC1076592054A4D05=


"Experience is what you get when you didn't get what you wanted." =97 =
Randy Pausch (The Last Lecture)

-------------- next part --------------
An HTML attachment was scrubbed...
URL: https://lists.owasp.org/pipermail/owasp-portuguese/attachments/20100723/39b43d70/attachment.html 


More information about the Owasp-portuguese mailing list