MySQL se le descubre un agujero

drcyber · #1 (**permalink**) 12/05/2003, 23:00

Esto lo leí en Hispasec:

-----------------------------------------------------
El mecanismo utilizado por MySQL para cifrar las contraseñas en el momento de almacenarlas no ofrece garantías de seguridad, ya que mediante fuerza bruta se puede obtener la contraseña en relativamente poco tiempo.

El problema se encuentra en que las contraseñas, que se almacenan en una tabla utilizando PASSWORD(), son cifradas de una forma en que facilitan su descifrado por fuerza bruta a gran velocidad.

Esto puede ser utilizado por un atacante malévolo, con acceso a la base de datos que contiene las contraseñas, a identificar en periodos de tiempo relativamente cortos cualquier contraseña. Por ejemplo, una contraseña de ocho caracteres en cuestión de unas pocas horas.

Debe indicarse, no obstante, que MySQL ofrece otros mecanismos de cifrado de la contraseña mucho más fuertes.
-----------------------------------------------------

Aquí tienen el código:
http://packetstorm.linuxsecurity.com...ers/msqlfast.c

¿Qué les parece?...

Fuente original: http://www.hispasec.com/unaaldia/1659

Cluster · #2 (**permalink**) 12/05/2003, 23:06

Pues me parece que pese que en el foro PHP muchos de nosotros usemos Mysql .. donde corresponde esta noticia es al foro "Base de datos" ..

Por lo demas .. la "fuerza bruta" siempre ha existido .. hasta para desencriptar "hash" como el MD5() .. otra cosa es el tiempo que te lleve hacerlo (una decena de años? .. cientos de años?) ... Pero, .. eso no es tema de este foro tampoco sino del de "Seguridad y redes" ...

Un saludo,

nuevo · #3 (**permalink**) 11/06/2003, 03:48

jajajaja.

otra cosa es el tiempo que te lleve hacerlo (una decena de años? .. cientos de años?)

muy bueno

jama · #4 (**permalink**) 11/06/2003, 04:06

No se Cluster, tienes razón en lo de la ubicación del hilo

pero creo que has sido un poco duro con el pobre drcyber

que ha venido a contarlo con todo el

del mundo,
muy bien drcyber

por la info, pero Cluster tiene razón, intenta ubicar tus hilos

josemi · #5 (**permalink**) 11/06/2003, 04:15

Hola,

Todo es crackeable, el factor decisivo es si merece la pena el gasto para crackear en relacion al beneficio obtenido.

Y la fuerza fruta es el que mas tiempo suele tardar. Conociendo un nombre de usuario, y sabiendo que el password puede ser de 8 caracteres maximo, es facil saber el numero maximo de intentos que debes realizar para dar con el password. La forma de "mitigar" los ataque de fuerza bruta es "dificultar" la posibilidad de probar numerosas claves para un usuario en un corto espacio de tiempo. Como cuando le das tres intentos a un usuario para identificarse antes de bloquear su cuenta. En este caso, la fuerza bruta no sirve (aunque te causaria el problema de numerosas cuentas bloqueadas).

Y como bien dice la noticia, es necesario tener acceso a MySQL. Eso ya puede de por si un fallo de seguridad por parte del administrador del servidor.

En fin, que los ataques de fuerza bruta son antiquisimos, y siempre pueden ser exitosos. Pero, ¿para que la fuerza bruta si puedes usar ingenieria social?

Saludos.

PD: Con el hardware actual, los ataques de fuerza bruta no tienen por que tardar años.