O artigo abaixo foi publicado há pouco pelo Anchises e me fez dar altas risadas, isso porque há algum tempo, um nobre e um tanto que inocente, e desenformado, profissional de segurança da informação deste vasto território, havia dito, via minha timeline do facebook, que era impossível quebrar a criptografia contida no SSL ou em diversas outras tecnologias.

Em seu paper “Practical Kleptography”, Matthew descreve a idéia de roubar segredos criptográficos de forma imperceptível, ou seja, criar sistemas criptográficos que tenham “backdoors” que permitam o acesso a informação original. Assim, ninguém sabe que uma informação encripitada pode ser acessada e, quando isso acontece, ninguém é capaz de perceber.

“Kleptografia” era considerado um conceito teórico até 2013, quando as revelações do Edward Snowden mostraram uma assustadora realidade: há vávios anos o governo americano, através da NSA, já tinha uma estratégia de influenciar o desenho de produtos comerciais de segurança de forma que fosse possível capturar dados sem ser detectado, mantendo a falsa percepção de que o produto é seguro.

Isso pode ser feito inserindo vulnerabilidades imperceptívels nos produtos ou, pior ainda, nos padrões e algoritmos de segurança enquanto eles são desenvolvidos, uma estratégia claramente adotada pela NSA. Em sua apresentação, Matthew descreve como tudo isso foi possível.

Mais 2 bits sobre tal post…

Sabem por que é legal trabalhar em grandes empresas e laboratórios como os da IBM e da HP ?

Porque você sempre aprende uma coisa nova, que ninguém nunca imaginou existir ou ser possível, mas quando vc a menciona, pelo menos tal possibilidade ou ideia de existência, o estúpido sempre grita aos setes ventos “eu afirmo que isso é impossível”.

P.S.: Já comecei a leitura do livro Trilhas em Segurança da Informação, a pedido de um amigo, é claro, para ter como conclusão, um singelo e direto review sobre, digamos, tal obra..

Como disseram certa vez — O ignorante afirma, o sábio duvida, o sensato reflete.

 

Compartilhar:

Este post tem 7 comentários

  1. Gustavo,

    eu disse naquele momento que o protocolo SSL não erá quebrável e até o momento eu reafirmo, pois eu e a comunidade toda desconhece. Afirmar que tudo pode ser quebrável é uma coisa, agora afirmar que é quebrado e que já fazem isso é outra completamente.

    O que você afirma como SSL “quebrado” são falhas de implementação e elas sempre irão existir, independente de quão seguro é o protocolo.

    Se desconhecer a quebra do SSL é ser ignorante e desinformado eu ainda permaneço, se quiser me ajudar a enxergar isso eu irei ler a referência com o maior prazer e compartilhar com toda a comunidade.

    Abs

  2. Wagner, sério que você ainda afirma que é impossível quebrar o SSL, mesmo sabendo do poder de processamento de tantas empresas por aí, e até mesmo das ações da NSA, desde de 2001 ?

    Aí meu saco..

  3. Lembrei agora do colega louco que tenta provar n=np… heheh o vida..

  4. Gustavo, você teria mais informações sobre essa rede social de hacking: https://hackerslist.com/? Pelo que li, eles oferecem hackers para serviços diversos, desde hack do facebook até projetos mais complexos, com uma tabela de preços de acordo com o nível de dificuldade do trabalho.

  5. “Encryption works. Properly implemented strong crypto systems are one of the few things that you can rely on. Unfortunately, endpoint security is so terrifically weak that NSA can frequently find ways around it.” — Edward Snowden

Deixe uma resposta

Fechar Menu