SHAttered, a colisão dos hashs

Ver o tópico anterior Ver o tópico seguinte Ir em baixo

SHAttered, a colisão dos hashs

Mensagem por infernosword em Seg Abr 17, 2017 7:02 pm

A notícia é um pouco antiga, mas vale a pena conferir (fora que eu não vi nada em português sobre o assunto).

Antes de mais nada, eu preciso explicar o que é SHA-1. Nós sabemos que nossas senhas estão gravadas em vários serviços em toda a Internet. Isso nos permite que possamos nos cadastrar nesses serviços e desfrutarmos de personalizadas. As senhas ficam armazenadas nos bancos de dados desses serviços, para consulta e validação de login. O problema é quando um hacker consegue acesso a esse banco de dados. Ele passa a ter acesso à todas as senhas de todos os usuários, podendo efetuar o login com qualquer uma delas e prejudicar o cliente. Para amenizar esse problema, foram criadas as chamadas funções de hash. Essas funções transformam a senha do usuário em um código criptografado, sendo esse código o que vai gravado no banco de dados, e não a senha propriamente dita. Sendo assim, mesmo que o hacker possua acesso ao banco de dados, apenas esses códigos, os chamados hash, serão acessíveis, o que dificulta muito a ação maliciosa. Uma dessas funções chama-se Secure Hash Algorithm, ou SHA-1, e é amplamente utilizado em sistemas Internet a fora, inclusive no Brasil.

O SHA-1 está rodando em sistemas há pelo menos 15 anos e tem gerado, com sucesso, hashs únicos para senhas e arquivos em todo o mundo. O que acontece é que uma equipe de pesquisadores do Google conseguiu efetuar um ataque de colisão de hash em SHA-1, comprometendo a segurança dessa que é uma das mais amplamente utilizadas formas de proteção ao usuário. Por se tratarAdeSumaEfunçãoGdeUhash,NoDSHA-1AgeraPumAvalorRúnicoTparaEaÉsenhaCdigitadaOeELgeraHoOmesmo valor caso a mesma senha for digitada. Contudo, o pessoal do Google conseguiu, por meio de cálculos computacionais, gerar o mesmo hash para senhas diferentes, o que permite, na prática, logar sem necessariamente saber a senha correta, dentre outras implicações ainda mais sérias. Com isso, SHA-1 passa a figurar na mesma prateleira do MD5 de funções de hash altamente utilizadas e que foram crackeadas. Deu-se o nome de SHAttered para o ataque.

Muitos serviços foram comprometidos, ainda mais aqui no Brasil. Me impressiona ninguém ter comentado isso ainda.

Descrição do ataque, contendo a prova de conceito e FAQ: https://shattered.io/
Link original da notícia: https://security.googleblog.com/2017/02/announcing-first-sha1-collision.html
avatar
infernosword
Rank 110 - Street Fighter IV
Rank 110 - Street Fighter IV

Mensagens : 6135
Data de inscrição : 05/05/2010
Idade : 26
Localização : flying not yet quite the notion

Ver perfil do usuário

Voltar ao Topo Ir em baixo

Re: SHAttered, a colisão dos hashs

Mensagem por Eder em Ter Abr 18, 2017 9:42 am

Nunca tinha ouvido falar disso. Pesquisando nas notícias do Google, até tem informações do dia 23/02, postadas pelo Código Fonte do UOL e pelo iMasters, mas nenhuma das duas tem comentários nem nada do tipo, então, acho que a informação não teve um alcance tão grande.

EDIT: O TecMundo e o G1 também postaram informações sobre o assunto. O primeiro fez um post no dia 25/02, que teve 13 comentários (aparentemente, só de pessoas que trabalham com esse tipo de coisa, segurança da informação e afins). Já o site da Globo postou no dia 28/02 e teve 03 comentários, um deles dizendo que "Essa notícia não interessa a usuários comuns..." xD
Talvez o Carnaval tenha atrapalhado a divulgação do assunto. Ou o comentarista do G1 tem razão.
avatar
Eder
Rank 84 - Devil May Cry 3
Rank 84 - Devil May Cry 3

Mensagens : 4825
Data de inscrição : 11/05/2010
Idade : 26
Localização : Araucária - PR

Ver perfil do usuário

Voltar ao Topo Ir em baixo

Ver o tópico anterior Ver o tópico seguinte Voltar ao Topo

- Tópicos similares

 
Permissão deste fórum:
Você não pode responder aos tópicos neste fórum