Gbitten

sábado, novembro 10, 2007

 

SHA-3

O NIST abriu a competição para escolha do sucessor do SHA-1 e da família SHA-2 (SHA-224, SHA-256, SHA-384 e SHA-512). Segue o anúncio:
NIST has opened a public competition to develop a new cryptographic hash algorithm, which converts a variable length message into a short “message digest” that can be used for digital signatures, message authentication and other applications. The competition is NIST’s response to recent advances in the cryptanalysis of hash functions. The new hash algorithm will be called “SHA-3” and will augment the hash algorithms currently specified in FIPS 180-2, Secure Hash Standard.
Cryptographic hash Algorithm Competition

Marcadores:


sexta-feira, novembro 09, 2007

 

Brazil

Atenção! A exposição prolongada ao enlace abaixo pode causar danos irrevercíveis ao cérebro:

Marcadores: ,


quarta-feira, novembro 07, 2007

 

Ataque de XSS com protocolo JAR

Acabei de ler um ataque bastante interessante que utiliza o protocolo jar e afeta o Firefox. A vulnerabilidade era tratada de forma confidencial pela fundação Mozilla, mas virou pública quando Petko D. Petkov a descobriu de forma independente e divulgou em seu site. Exemplificando o ataque:
  1. Em um ataque de Cross-Site-Scripting (XSS), o atacante induz a vítima a executar um javascript malicioso a partir de um site (ex: www.foo.bar). Para isso, o atacante prepara um arquivo no formato zip (ex: foo.zip). No arquivo zip, deverá conter um arquivo html (ex: foo.html) que por sua vez possui o código javascript malicioso.
  2. O site www.foo.bar é um sistema que permite seus usuários fazerem upload de arquivos. Este tipo recurso é comum em sistemas web tais como bulletin boards, webmails, site colaborativos, etc. O Atacante então faz o upload do arquivo zip para o site. O arquivo ficara armazenado, por exemplo, na url:
    http://www.foo.bar/upload/foo.zip
  3. Feito isso, o atacante, através de engenharia social, induz a vítima a abrir no Firefox uma url deste tipo:
    jar:http://www.foo.bar/upload/foo.zip!/foo.html
  4. A inocente vítima vai clicar na url, e o Firefox fará o resto. Ele vai abaixar o arquivo foo.zip, deste irá extrair o arquivo foo.html, que será exibido pelo navegador. Ao exibi-lo, o Firefox executará o código javascript malicioso contido no arquivo. O Firefox entende que aquele código javascript é originário do site www.foo.bar, e que portanto terá acesso aos cookies deste site, poderá fazer get e post também para este site, até mesmo manipular suas páginas.
Este é um bom exemplo de como novas tecnologias (no caso o suporte ao protocolo jar) podem trazer riscos novos a um ambiente. Para mais informações seguem os enlaces abaixo: Update: O bug foi corrigido.

Marcadores:


terça-feira, novembro 06, 2007

 

Como tratar uma quebra de segurança

Este artigo, de Rich Mogull, faz algumas observações interessantes sobre como devemos tratar uma quebra de segurança. Basicamente, ele diz que devemos minimizar o impacto, não apenas da empresa, mas principalmente dos consumidores e do público em geral e este deve ser o foco de uma eventual divulgação da quebra de segurança. Boa leitura.

Marcadores:


sexta-feira, novembro 02, 2007

 

Prism

Um programa para acessar o InternetBank, outro programa para ler o gmail, um terceiro para fazer comprar online e assim por diante. A princípio, parece um retrocesso tecnológico, pois hoje o navegador Web já atende a todos estes serviços. Mas se houvesse um forma fácil de configurar o navegador para agir como um aplicação independente e específica para aquele serviço e a mesmo tempo isolar esta aplicação dos diversos problemas de segurança encontrados quando se usa a mesma plataforma para escrever um scrap Orkut e realizar um transferência no Banco do Brasil.

Essa é a proposta do Prism, um projeto da Fundação Mozilla, criar uma plataforma para estas aplicações que ao mesmo tempo tenha a vantagens de ser totalmente compatível com as aplicações web atuais, contudo, que também permita isola-las e customiza-las das demais aplicações web. As intranets corporativas, por exemplo, poderiam rodar em uma aplicação isolada do navegador comum.

O navegador já é um dos principais alvos de ataques hoje, e com a quantidade absurda de sites com vulnerabilidades tais como XSS, SQL Injections, Cross-site cooking, etc. e tendêndia da popularização do acesso web por dispositivos móveis, a situação tende a piorar.

Entre os recursos de segurança de Segurança que o Prism deve implantar estão:

Por enquanto o Prism (antigo Webrunner) ainda é beta e não implementa a maioria da características a cima, porem ao julgar a repercussão que está tento e o respaldo do recém criado Mozilla Labs, seu desenvolvimento deve sofrer uma aceleração significativa.

Enlaces:

Marcadores:


Arquivos

Janeiro 2000   Fevereiro 2000   Março 2000   Julho 2005   Agosto 2005   Setembro 2005   Outubro 2005   Novembro 2005   Dezembro 2005   Janeiro 2006   Março 2006   Abril 2006   Maio 2006   Junho 2006   Julho 2006   Agosto 2006   Setembro 2006   Outubro 2006   Novembro 2006   Dezembro 2006   Janeiro 2007   Fevereiro 2007   Abril 2007   Maio 2007   Junho 2007   Julho 2007   Agosto 2007   Setembro 2007   Outubro 2007   Novembro 2007   Janeiro 2008   Fevereiro 2008   Março 2008   Junho 2008   Setembro 2008   Novembro 2008   Dezembro 2008   Junho 2009   Julho 2009   Agosto 2009   Setembro 2009   Outubro 2009   Dezembro 2009   Fevereiro 2010  

This page is powered by Blogger. Isn't yours?

Assinar Postagens [Atom]