SHAttered, a colisão dos hashs
2 participantes
Página 1 de 1
SHAttered, a colisão dos hashs
A notícia é um pouco antiga, mas vale a pena conferir (fora que eu não vi nada em português sobre o assunto).
Antes de mais nada, eu preciso explicar o que é SHA-1. Nós sabemos que nossas senhas estão gravadas em vários serviços em toda a Internet. Isso nos permite que possamos nos cadastrar nesses serviços e desfrutarmos de personalizadas. As senhas ficam armazenadas nos bancos de dados desses serviços, para consulta e validação de login. O problema é quando um hacker consegue acesso a esse banco de dados. Ele passa a ter acesso à todas as senhas de todos os usuários, podendo efetuar o login com qualquer uma delas e prejudicar o cliente. Para amenizar esse problema, foram criadas as chamadas funções de hash. Essas funções transformam a senha do usuário em um código criptografado, sendo esse código o que vai gravado no banco de dados, e não a senha propriamente dita. Sendo assim, mesmo que o hacker possua acesso ao banco de dados, apenas esses códigos, os chamados hash, serão acessíveis, o que dificulta muito a ação maliciosa. Uma dessas funções chama-se Secure Hash Algorithm, ou SHA-1, e é amplamente utilizado em sistemas Internet a fora, inclusive no Brasil.
O SHA-1 está rodando em sistemas há pelo menos 15 anos e tem gerado, com sucesso, hashs únicos para senhas e arquivos em todo o mundo. O que acontece é que uma equipe de pesquisadores do Google conseguiu efetuar um ataque de colisão de hash em SHA-1, comprometendo a segurança dessa que é uma das mais amplamente utilizadas formas de proteção ao usuário. Por se tratarAdeSumaEfunçãoGdeUhash,NoDSHA-1AgeraPumAvalorRúnicoTparaEaÉsenhaCdigitadaOeEsóLgeraHoOmesmo valor caso a mesma senha for digitada. Contudo, o pessoal do Google conseguiu, por meio de cálculos computacionais, gerar o mesmo hash para senhas diferentes, o que permite, na prática, logar sem necessariamente saber a senha correta, dentre outras implicações ainda mais sérias. Com isso, SHA-1 passa a figurar na mesma prateleira do MD5 de funções de hash altamente utilizadas e que foram crackeadas. Deu-se o nome de SHAttered para o ataque.
Muitos serviços foram comprometidos, ainda mais aqui no Brasil. Me impressiona ninguém ter comentado isso ainda.
Descrição do ataque, contendo a prova de conceito e FAQ: https://shattered.io/
Link original da notícia: https://security.googleblog.com/2017/02/announcing-first-sha1-collision.html
Antes de mais nada, eu preciso explicar o que é SHA-1. Nós sabemos que nossas senhas estão gravadas em vários serviços em toda a Internet. Isso nos permite que possamos nos cadastrar nesses serviços e desfrutarmos de personalizadas. As senhas ficam armazenadas nos bancos de dados desses serviços, para consulta e validação de login. O problema é quando um hacker consegue acesso a esse banco de dados. Ele passa a ter acesso à todas as senhas de todos os usuários, podendo efetuar o login com qualquer uma delas e prejudicar o cliente. Para amenizar esse problema, foram criadas as chamadas funções de hash. Essas funções transformam a senha do usuário em um código criptografado, sendo esse código o que vai gravado no banco de dados, e não a senha propriamente dita. Sendo assim, mesmo que o hacker possua acesso ao banco de dados, apenas esses códigos, os chamados hash, serão acessíveis, o que dificulta muito a ação maliciosa. Uma dessas funções chama-se Secure Hash Algorithm, ou SHA-1, e é amplamente utilizado em sistemas Internet a fora, inclusive no Brasil.
O SHA-1 está rodando em sistemas há pelo menos 15 anos e tem gerado, com sucesso, hashs únicos para senhas e arquivos em todo o mundo. O que acontece é que uma equipe de pesquisadores do Google conseguiu efetuar um ataque de colisão de hash em SHA-1, comprometendo a segurança dessa que é uma das mais amplamente utilizadas formas de proteção ao usuário. Por se tratarAdeSumaEfunçãoGdeUhash,NoDSHA-1AgeraPumAvalorRúnicoTparaEaÉsenhaCdigitadaOeEsóLgeraHoOmesmo valor caso a mesma senha for digitada. Contudo, o pessoal do Google conseguiu, por meio de cálculos computacionais, gerar o mesmo hash para senhas diferentes, o que permite, na prática, logar sem necessariamente saber a senha correta, dentre outras implicações ainda mais sérias. Com isso, SHA-1 passa a figurar na mesma prateleira do MD5 de funções de hash altamente utilizadas e que foram crackeadas. Deu-se o nome de SHAttered para o ataque.
Muitos serviços foram comprometidos, ainda mais aqui no Brasil. Me impressiona ninguém ter comentado isso ainda.
Descrição do ataque, contendo a prova de conceito e FAQ: https://shattered.io/
Link original da notícia: https://security.googleblog.com/2017/02/announcing-first-sha1-collision.html
infernosword- Rank 110 - Street Fighter IV
- Mensagens : 6135
Data de inscrição : 05/05/2010
Idade : 33
Localização : flying not yet quite the notion
Re: SHAttered, a colisão dos hashs
Nunca tinha ouvido falar disso. Pesquisando nas notícias do Google, até tem informações do dia 23/02, postadas pelo Código Fonte do UOL e pelo iMasters, mas nenhuma das duas tem comentários nem nada do tipo, então, acho que a informação não teve um alcance tão grande.
EDIT: O TecMundo e o G1 também postaram informações sobre o assunto. O primeiro fez um post no dia 25/02, que teve 13 comentários (aparentemente, só de pessoas que trabalham com esse tipo de coisa, segurança da informação e afins). Já o site da Globo postou no dia 28/02 e teve 03 comentários, um deles dizendo que "Essa notícia não interessa a usuários comuns..." xD
Talvez o Carnaval tenha atrapalhado a divulgação do assunto. Ou o comentarista do G1 tem razão.
EDIT: O TecMundo e o G1 também postaram informações sobre o assunto. O primeiro fez um post no dia 25/02, que teve 13 comentários (aparentemente, só de pessoas que trabalham com esse tipo de coisa, segurança da informação e afins). Já o site da Globo postou no dia 28/02 e teve 03 comentários, um deles dizendo que "Essa notícia não interessa a usuários comuns..." xD
Talvez o Carnaval tenha atrapalhado a divulgação do assunto. Ou o comentarista do G1 tem razão.
Eder- Rank 91 - God of War: Chains of Olympus
- Mensagens : 5169
Data de inscrição : 11/05/2010
Idade : 32
Localização : Araucária - PR
Página 1 de 1
Permissões neste sub-fórum
Não podes responder a tópicos
|
|