Foros del Web » Programando para Internet » PHP »

MySQL se le descubre un agujero

Estas en el tema de MySQL se le descubre un agujero en el foro de PHP en Foros del Web. Esto lo leí en Hispasec: ----------------------------------------------------- El mecanismo utilizado por MySQL para cifrar las contraseñas en el momento de almacenarlas no ofrece garantías de seguridad, ...
  #1 (permalink)  
Antiguo 13/05/2003, 00:00
Avatar de drcyber  
Fecha de Ingreso: julio-2002
Mensajes: 826
Antigüedad: 15 años, 4 meses
Puntos: 2
Exclamación MySQL se le descubre un agujero

Esto lo leí en Hispasec:

-----------------------------------------------------
El mecanismo utilizado por MySQL para cifrar las contraseñas en el momento de almacenarlas no ofrece garantías de seguridad, ya que mediante fuerza bruta se puede obtener la contraseña en relativamente poco tiempo.

El problema se encuentra en que las contraseñas, que se almacenan en una tabla utilizando PASSWORD(), son cifradas de una forma en que facilitan su descifrado por fuerza bruta a gran velocidad.

Esto puede ser utilizado por un atacante malévolo, con acceso a la base de datos que contiene las contraseñas, a identificar en periodos de tiempo relativamente cortos cualquier contraseña. Por ejemplo, una contraseña de ocho caracteres en cuestión de unas pocas horas.

Debe indicarse, no obstante, que MySQL ofrece otros mecanismos de cifrado de la contraseña mucho más fuertes.
-----------------------------------------------------

Aquí tienen el código:
http://packetstorm.linuxsecurity.com...ers/msqlfast.c

¿Qué les parece?...

Fuente original: http://www.hispasec.com/unaaldia/1659
__________________
Dr. Cyber
Ingeniarte.com
(soy el mismo Takitei)
  #2 (permalink)  
Antiguo 13/05/2003, 00:06
O_O
 
Fecha de Ingreso: enero-2002
Ubicación: Santiago - Chile
Mensajes: 34.417
Antigüedad: 15 años, 11 meses
Puntos: 126
Pues me parece que pese que en el foro PHP muchos de nosotros usemos Mysql .. donde corresponde esta noticia es al foro "Base de datos" ..

Por lo demas .. la "fuerza bruta" siempre ha existido .. hasta para desencriptar "hash" como el MD5() .. otra cosa es el tiempo que te lleve hacerlo (una decena de años? .. cientos de años?) ... Pero, .. eso no es tema de este foro tampoco sino del de "Seguridad y redes" ...

Un saludo,

__________________
Por motivos personales ya no puedo estar con Uds. Fue grato haber compartido todos estos años. Igualmente los seguiré leyendo.
  #3 (permalink)  
Antiguo 11/06/2003, 04:48
Avatar de nuevo  
Fecha de Ingreso: mayo-2003
Ubicación: Spain
Mensajes: 2.009
Antigüedad: 14 años, 7 meses
Puntos: 2
jajajaja.

otra cosa es el tiempo que te lleve hacerlo (una decena de años? .. cientos de años?)

muy bueno
__________________
3w.valenciadjs.com
3w.laislatv.com
  #4 (permalink)  
Antiguo 11/06/2003, 05:06
Avatar de jama  
Fecha de Ingreso: junio-2003
Mensajes: 41
Antigüedad: 14 años, 6 meses
Puntos: 0
No se Cluster, tienes razón en lo de la ubicación del hilo
pero creo que has sido un poco duro con el pobre drcyber
que ha venido a contarlo con todo el del mundo,
muy bien drcyber por la info, pero Cluster tiene razón, intenta ubicar tus hilos
  #5 (permalink)  
Antiguo 11/06/2003, 05:15
Ex Colaborador
 
Fecha de Ingreso: junio-2002
Mensajes: 9.091
Antigüedad: 15 años, 5 meses
Puntos: 16
Hola,

Todo es crackeable, el factor decisivo es si merece la pena el gasto para crackear en relacion al beneficio obtenido.

Y la fuerza fruta es el que mas tiempo suele tardar. Conociendo un nombre de usuario, y sabiendo que el password puede ser de 8 caracteres maximo, es facil saber el numero maximo de intentos que debes realizar para dar con el password. La forma de "mitigar" los ataque de fuerza bruta es "dificultar" la posibilidad de probar numerosas claves para un usuario en un corto espacio de tiempo. Como cuando le das tres intentos a un usuario para identificarse antes de bloquear su cuenta. En este caso, la fuerza bruta no sirve (aunque te causaria el problema de numerosas cuentas bloqueadas).

Y como bien dice la noticia, es necesario tener acceso a MySQL. Eso ya puede de por si un fallo de seguridad por parte del administrador del servidor.

En fin, que los ataques de fuerza bruta son antiquisimos, y siempre pueden ser exitosos. Pero, ¿para que la fuerza bruta si puedes usar ingenieria social?

Saludos.

PD: Con el hardware actual, los ataques de fuerza bruta no tienen por que tardar años.
__________________
Josemi

Aprendiz de mucho, maestro de poco.
Atención: Estás leyendo un tema que no tiene actividad desde hace más de 6 MESES, te recomendamos abrir un Nuevo tema en lugar de responder al actual.
Respuesta




La zona horaria es GMT -6. Ahora son las 03:43.