GearBest

quarta-feira, 6 de janeiro de 2016

Qual é o tamanho da sua senha na Internet? Ataque HTTPS pode revela isso e muito mais


Ataque HTTPS


Um novo ataque a fluxos de comunicação supostamente seguros levanta questões sobre a resiliência das senhas, os pesquisadores de segurança advertem.



O ataque HTTPS Bicycle pode resultar na extensão dos dados pessoais e secretos, como senhas e coordenadas GPS, sendo expostos a partir de uma captura de pacotes de tráfego HTTPS de um usuário.

O ataque descoberto pelo pesquisador de segurança GuidoVranken (e resumidas abaixo), muda o foco de atenção sobre temas como criptografia, autenticação, privacidade e mais especificamente a segurança da senha.

  • É geralmente assumido que o tráfego HTTP encapsulado no TLS não revela as dimensões exatas de suas partes, tais como o comprimento de um cabeçalho de cookie, ou a carga de um pedido HTTP POST que podem conter credenciais de comprimento variável, tais como senhas. Neste artigo, mostram que a redundância dos cabeçalhos HTTP de texto simples incluído em cada pedido pode ser explorada a fim de revelar o comprimento de componentes específicos (como senhas) de solicitações específicas (tais como autenticação para um aplicativo da web).

  • A redundância de HTTP na prática permite uma resolução iterativo do comprimento de incógnitas em uma mensagem HTTP até que os comprimentos de todos os seus componentes são conhecidos com exceção de um segredo cobiçado, tal como uma senha, cujo comprimento é então implícita. O ataque, além disso, explora a propriedade de suites orientada a criptografia de fluxo, tais como aqueles baseados em modo de contador que o tamanho exato do texto simples pode ser conhecido a um man-in-the-middle.


Carl Leonard, principal analista de segurança da empresa de ferramentas de segurança, Raytheon | Websense, comentou: "Os usuários finais podem esperar que suas senhas permaneçam em segredo quando interagem com um site que usa criptografia, mas HTTPS Bicycle mostra que isso pode não ser o caso. Conhecimento é poder para um atacante, e até mesmo pequenos pedaços de informação pode levar a um ataque mais refinado mais tarde".

Determinar até mesmo o comprimento de uma senha pode limitar o leque de possibilidades e, portanto, fazer subsequentes ataques de força bruta mais eficaz, continuou Leonard: "A natureza não detectável deste ataque significa que é vital que os webmasters venha a considerar o uso de senhas fortes e autenticação de dois fatores para eliminar o ponto único de falha. Os usuários finais devem garantir que suas senhas são suficientemente fortes, enquanto os operadores de sites e desenvolvedores da plataforma web deve garantir que eles são totalmente atualizado para garantir que todas as medidas são tomadas para evitar que este ataque ocorra no futuro".