Está usted visitando una publicación en la hemeroteca de CSIRT-CV.
Para acceder al portal y contenido actual, visite https://www.csirtcv.gva.es
04/02/2014
Els secrets falsos milloren la seguretat informàtica
L’encriptat Honey Encryption bombardejarà els atacants amb informació falsa que parega creïble.
L’investigador independent i antic director científic de l’empresa de seguretat informàtica RSA, AriJuels, creu que falta alguna cosa important en la criptografia que protegix les nostres dades sensibles a l’engany.
"Els esquers i l’engany són eines infrautilitzades en la seguretat informàtica fonamental", afirma Juels. Junt amb l’investigador de la Universitat de Wisconsin (EUA) Thomas Ristenpart, ha desenrotllat un nou sistema d’encriptat amb un toc enrevessat. Proporciona una capa extra de protecció a les dades encriptades, servint dades falses després de cada intent fallit d’introduir una contrasenya o la clau d’encriptat. Si l’atacant acaba encertant, les dades reals aniran perdudes entre un munt de dades falses.
Este mètode podria tindre importància atesa la freqüència amb què grans quantitats de dades sensibles cauen en mans de criminals. A l’octubre de 2013, per exemple, es van extraure uns 150 milions de noms d’usuaris i contrasenyes dels servidors d’Adobe.
Després de capturar unes dades encriptades, els criminals solen usar programari per a intentar endevinar la contrasenya o la clau criptogràfica que s’han usat per a protegir-los. En el disseny dels sistemes criptogràfics convencionals és fàcil saber quan l’intent és correcte o no: una clau errònia produïx un rebombori, no un tros de dades en cru recognoscibles.
El mètode de Juels i Ristenpart, batejat com a Honey Encription (encriptat Honey), fa que a un atacant li resulte més difícil saber si han endevinat la contrasenya o clau d’encriptat correctament o no. Quan s’usa la clau incorrecta per a desencriptar quelcom protegit per este sistema, el programari genera una sèrie de dades falses que s’assemblen a les autèntiques.
Si un atacant usara programari per a fer 10.000 intents de desencriptar un número de targeta de crèdit, per exemple, aconseguirien 10.000 números falsos. "Cada desencriptat pareixerà plausible", explica Juels. L’atacant no té forma de distingir, a priori, quin és correcte "Anteriorment. Juels havia treballat amb Rom Rivest, la "R" de RSA, per a desenrotllar un sistema denominat HoneyWords que protegixque bases de dades de contrasenyes omplint-les també de contrasenyes falses.
Juels i Ristenpart presentaran un article sobre Honey Encription en la conferència de criptografia Eurocrypt d’enguany. Juels també està treballant per a construir un sistema basat en este sistema per a protegir els dades emmagatzemades en servicis de gestió de contrasenyes com LastPass i Dashlane. Estos dispositius emmagatzemen totes les contrasenyes d’una persona, encriptades i protegides per una única contrasenya mestra, perquè el programari les introduïsca automàticament en els llocs web.
Els gestors de contrasenyes són un objectiu molt atractiu per als criminals, segons Juels. L’investigador creu que la majoria de la gent usa una contrasenya mestra poc segura per a protegir la seua col·lecció. "Tal com estan construïts, els gestors no animen a crear una contrasenya forta perquè cal teclejar-la constantment, en molts casos en un dispositiu mòbil".
Juels prediu que si els criminals es feren amb una gran col·lecció de caixes fortes de contrasenyes encriptades probablement podrien obrir moltes d’estes sense massa problema, simplement endevinant les contrasenyes mestres. Però si eixes caixes fortes estigueren protegides per Honey Encryption, cada intent fallit de desencriptar una caixa forta produiria una falsa.
El director executiu i fundador de l’empresa de programari mòbil Anfacto, Hristo Bojinov, que ha treballat en com protegir les caixes fortes de contrasenyes com a investigador de seguretat, afirma que Honey Encription podria servir perquè la vulnerabilitat de les caixes fortes siga menor. Però assenyala que no tots els tipus de dades es podran protegir fàcilment així, perquè no sempre es poden conéixer les dades encriptades amb el detall suficient com per a produir falsificacions creïbles. "No tots els sistemes d’autenticació o encriptat es presten a la 'honeyficació'".
Juels li dóna la raó, però està convençut que ja hi ha hagut prou robatoris de contrasenyes filtrats en línia com per a poder crear falsificacions que imiten correctament col·leccions de contrasenyes autèntiques. Ara mateix està treballant a crear el generador de caixes fortes de contrasenyes falses necessari per a poder usar Honey Encryption en la protecció de gestors de contrasenyes. Este generador es basarà en dades d’una xicoteta col·lecció ja filtrada de caixes fortes gestores de contrasenyes, diverses sèries grans de contrasenyes filtrades, i un model d’ús de contrasenyes en el món real incorporat en un potent desxifrador de contrasenyes.