Gbitten

O NIST abriu a competição para escolha do sucessor do SHA-1 e da família SHA-2 (SHA-224, SHA-256, SHA-384 e SHA-512). Segue o anúncio:

NIST has opened a public competition to develop a new cryptographic hash algorithm, which converts a variable length message into a short “message digest” that can be used for digital signatures, message authentication and other applications. The competition is NIST’s response to recent advances in the cryptanalysis of hash functions. The new hash algorithm will be called “SHA-3” and will augment the hash algorithms currently specified in FIPS 180-2, Secure Hash Standard.

Marcadores: Criptografia

Atenção! A exposição prolongada ao enlace abaixo pode causar danos irrevercíveis ao cérebro:

• Brazil - Weebl's Stuff

Marcadores: Cartoon, Fun

Acabei de ler um ataque bastante interessante que utiliza o protocolo jar e afeta o Firefox. A vulnerabilidade era tratada de forma confidencial pela fundação Mozilla, mas virou pública quando Petko D. Petkov a descobriu de forma independente e divulgou em seu site. Exemplificando o ataque:

1. Em um ataque de Cross-Site-Scripting (XSS), o atacante induz a vítima a executar um javascript malicioso a partir de um site (ex: www.foo.bar). Para isso, o atacante prepara um arquivo no formato zip (ex: foo.zip). No arquivo zip, deverá conter um arquivo html (ex: foo.html) que por sua vez possui o código javascript malicioso.
2. O site www.foo.bar é um sistema que permite seus usuários fazerem upload de arquivos. Este tipo recurso é comum em sistemas web tais como bulletin boards, webmails, site colaborativos, etc. O Atacante então faz o upload do arquivo zip para o site. O arquivo ficara armazenado, por exemplo, na url:

   http://www.foo.bar/upload/foo.zip

3. Feito isso, o atacante, através de engenharia social, induz a vítima a abrir no Firefox uma url deste tipo:

   jar:http://www.foo.bar/upload/foo.zip!/foo.html

4. A inocente vítima vai clicar na url, e o Firefox fará o resto. Ele vai abaixar o arquivo foo.zip, deste irá extrair o arquivo foo.html, que será exibido pelo navegador. Ao exibi-lo, o Firefox executará o código javascript malicioso contido no arquivo. O Firefox entende que aquele código javascript é originário do site www.foo.bar, e que portanto terá acesso aos cookies deste site, poderá fazer get e post também para este site, até mesmo manipular suas páginas.

Este é um bom exemplo de como novas tecnologias (no caso o suporte ao protocolo jar) podem trazer riscos novos a um ambiente. Para mais informações seguem os enlaces abaixo:

• Web Mayhem: Firefox’s JAR: Protocol issues
• Bugzilla@Mozilla – Bug 369814

Update: O bug foi corrigido.

Marcadores: Firefox

Este artigo, de Rich Mogull, faz algumas observações interessantes sobre como devemos tratar uma quebra de segurança. Basicamente, ele diz que devemos minimizar o impacto, não apenas da empresa, mas principalmente dos consumidores e do público em geral e este deve ser o foco de uma eventual divulgação da quebra de segurança. Boa leitura.

• Learning From Tylenol

Marcadores: Artigo

Um programa para acessar o InternetBank, outro programa para ler o gmail, um terceiro para fazer comprar online e assim por diante. A princípio, parece um retrocesso tecnológico, pois hoje o navegador Web já atende a todos estes serviços. Mas se houvesse um forma fácil de configurar o navegador para agir como um aplicação independente e específica para aquele serviço e a mesmo tempo isolar esta aplicação dos diversos problemas de segurança encontrados quando se usa a mesma plataforma para escrever um scrap Orkut e realizar um transferência no Banco do Brasil.

Essa é a proposta do Prism, um projeto da Fundação Mozilla, criar uma plataforma para estas aplicações que ao mesmo tempo tenha a vantagens de ser totalmente compatível com as aplicações web atuais, contudo, que também permita isola-las e customiza-las das demais aplicações web. As intranets corporativas, por exemplo, poderiam rodar em uma aplicação isolada do navegador comum.

O navegador já é um dos principais alvos de ataques hoje, e com a quantidade absurda de sites com vulnerabilidades tais como XSS, SQL Injections, Cross-site cooking, etc. e tendêndia da popularização do acesso web por dispositivos móveis, a situação tende a piorar.

Entre os recursos de segurança de Segurança que o Prism deve implantar estão:

• Executar como um processo separado
• Restrição de url/domínio
• Capacidadede rodar de um dispositovo USB
• Estabelecer um sandbox a que as diversas aplicações Prism não compartilhem cookies, configurações e dados
• Restrição dos certificados digitais válidos

Por enquanto o Prism (antigo Webrunner) ainda é beta e não implementa a maioria da características a cima, porem ao julgar a repercussão que está tento e o respaldo do recém criado Mozilla Labs, seu desenvolvimento deve sofrer uma aceleração significativa.

Enlaces:

• Mozilla Wiki
• Mozilla Labs
• NY Times

Marcadores: Firefox