En ocasiones, los usuarios y empresas tenemos excesiva confianza en que nuestros proveedores de software y servicios cumplen con todos los requisitos lógicos de seguridad. Por desgracia, en ocasiones no es así, y es habitual encontrarte con herramientas comerciales vulnerables que pueden poner en riesgo nuestra seguridad.
En esta charla, comentaremos algunos conceptos básicos sobre el uso de criptografía, y mostraremos un ejemplo de como se encontró una vulnerabilidad por mal uso de cripografía en un software que pretendía ser un reemplazo para una conocida herramienta de gestión remota de equipos de usuario.
2. 2
Jose Selvi (@Jose Selvi)
+12 years in the infosec industry
Principal Penetration Tester
& Security Researcher
SANS Institute Community Instructor
GIAC Security Expert (GSE)
Blogger (sometimes): http://www.pentester.es
$ WHOIS JSELVI
7. 7
TESTING CRYPTO IN 30 MINUTES
test1@test.com : 123456 -> 5A 8D 7D B4 DB B4 05 E9 AB CC 2D 46 AD AD 21 7F
test1@test.com : 123456 -> 5A 8D 7D B4 DB B4 05 E9 AB CC 2D 46 AD AD 21 7F
REUSE SALT, REUSE IV
test1@test.com : 123456 -> 5A 8D 7D B4 DB B4 05 E9 AB CC 2D 46 AD AD 21 7F
test1@test.com : 000000 -> 2E C7 7C 2A 19 6E 02 2B AA 68 7E F0 61 67 51 B0
test1@test.com : 123456 -> 5A 8D 7D B4 DB B4 05 E9 AB CC 2D 46 AD AD 21 7F
test2@test.com : 123456 -> 7B 49 CF 4D E4 32 1E 77 93 21 1A B5 74 8B 44 DA
BASED ON EMAIL & PASSWORD
BLOCK CIPHER (REVERSIBLE) ENCRYPTION
B6 78 78 BD F5 72 FC BE 04 8B D5 33 44 98 7B 02
23 97 F8 B5 BD 63 3F 6D F8 AB 13 64 76 DD 37 BE
5A 8D 7D B4 DB B4 05 E9 AB CC 2D 46 AD AD 21 7F
28. 28
REUSING IVs ON AES
$ echo Testing1234 | openssl enc -aes-128-cbc -K 1234 -iv 1 | hexdump
0000000 d5 1e 92 d4 ce 72 dc ab 6d e9 c0 b6 bb 39 de f7
$ echo Testing1234 | openssl enc -aes-128-cbc -K 1234 -iv 1 | hexdump
0000000 d5 1e 92 d4 ce 72 dc ab 6d e9 c0 b6 bb 39 de f7
$ echo Testing1234 | openssl enc -aes-128-cbc -K 1234 -iv 1 | hexdump
0000000 d5 1e 92 d4 ce 72 dc ab 6d e9 c0 b6 bb 39 de f7
$ echo Testing1234 | openssl enc -aes-128-cbc -K 1234 -iv 1 | hexdump
0000000 d5 1e 92 d4 ce 72 dc ab 6d e9 c0 b6 bb 39 de f7
$ echo Testing1234 | openssl enc -aes-128-cbc -K 1234 -iv 1 | hexdump
0000000 d5 1e 92 d4 ce 72 dc ab 6d e9 c0 b6 bb 39 de f7
29. 29
REUSING IVs ON STREAM CIPHERS
W E L C O M E T O T H I S
12 34 56 78 9A BC DE F0 12 34 56 78 9A BC DE F0
H I D D E N M E S S A G E ! .
12 34 56 78 9A BC DE F0 12 34 56 78 9A BC DE F0
(M1 ⊕ KEY) ⊕ (M2 ⊕ KEY)
M1 ⊕ M2