O padrão XML Encryption é usado para dar segurança a comunicações entre serviços na web por muitas empresas, incluindo IBM, Microsoft e Red Hat. Os pesquisadores da universidade, Juraj Somorovsky e Tibor Jager, projetaram um ataque que decodifica dados seguros com os padrões DES (Data Encryption Standard) ou AES (Advanced Encryption Standard) no modo CBC (cipher block chaining).
Eles planejam apresentar suas descobertas com mais detalhes durante a conferência ACM Segurança em Computação e Comunicação, que acontece no final do ano.
De acordo com Jörg Schwenk, que dá aulas de engenharia elétrica e tecnologia da informação na Universidade de Bochum, na Alemanha, todos os algoritmos de criptografia de dados recomendados no padrão XML Encryption são afetados por esse ataque, que depende do envio de textos cifrados modificados para o servidor e da análise de erros por pistas.
A mesma técnica foi usada pelos pesquisadores de segurança Juliano Rizzo e Thai Duong em seu ataque ao ASP.NET Framework, que lhes valeu o prêmio Pwnie deste ano como melhor bug para servidores. Mais recentemente, os pesquisadores demonstraram um ataque separado contra implementações SSL/TLS (Secure Sockets Layer/Transfer Layer Security) que usam o modo CBC, muito parecido com o ataque citado acima.
“Todos esses algoritmos são vulneráveis a ataques, uma vez que utilizam o modo CBC. Por isso, todas as implementações do padrão devem ser afetadas”, afirma Schwenk, em referência às recomendações do XML Encryption.
Os pesquisadores da Universidade de Bochum informaram as fabricantes afetadas por meio da sua lista de contatos do World Wide Web Consortium (W3C), a organização que delineou o padrão. O ataque foi testado com sucesso contra muitas implementações usadas por companhias que responderam ao relatório dos pesquisadores.
“A Microsoft tem consciência da pesquisa sobre um problema ligado a toda indústria que afeta determinadas implementações do padrão de criptografia XML. Continuamos a avaliar nossos produtos para determinar quais aplicativos, se é que há algum, usam a abordagem de implementação em questão”, afirmou um porta-voz da fabricante do Windows.
A gigante do software ainda não tinha nenhuma recomendação a fazer sobre o assunto. “Vamos fornecer instruções sobre a implementação XML na Microsoft para desenvolvedores de outras empresas quando for apropriado”, completou o porta-voz da companhia.
Os pesquisadores alegam que não há uma solução simples para o problema e que o padrão precisa ser mudado. De qualquer forma, eles tentarão elabobrar uma lista de medidas defensivas em um relatório futuro.
Fonte: IDG Now!
Nenhum comentário:
Postar um comentário