[Users-es] Re: HttpDigest no seguro

Iñaki Baz Castillo ibc at in.ilimit.es
Thu Aug 16 16:54:56 CEST 2007 

El Thursday 16 August 2007 15:57:38 David Santamaria escribió:
> Aupa,
>
> Saúl Ibarra escribió:
> > Nop, yo en el e-Verano les hice una mini-demo de claves
> > "super-seguras". Le puse a un telefono de clave 1234, capture un
> > REGISTER con sipdump (que tiene el texto del desafio y la respuesta) y
> > sipcrack tardó menos de 1 segundo en decirme la clave (haciendo ataque
> > con diccionario).
> >
> > No soy un expero, pero aunque no esta la contraseña, esta todo lo que
> > necesitas saber... o eso creo.
>
> La contraseña efectivamente no va ahi, pero no es tan sencillo el asunto.
> (Espero ser lo menos impreciso posible, aunque se aceptaran todas las
> correcciones de los RFC readers que hay por aquí :P)
> En el mecanismo de desafió/respuesta, lo que el Registar envía al UA es
> un desafió que incluye entre otras cosas una marca de tiempo para que el
> desafió tenga un periodo de caducidad, el UA al recibir ese reto une su
> contraseña a ese reto y la "hashea"normalmente con MD5 (el cual tiene
> colisiones, al igual que todos los mecanismos de HASH) y eso conforma la
> respuesta al reto que es o que sera enviado (con lo cual, la contraseña
> nunca viaja a través de la red, en un mecanismo de registro o en un
> invite). En todo caso, ese hash (respuesta) llega al registar y es el
> que conociendo el reto y la contraseña aplica el mismo mecanismo que el
> cliente para crear la respuesta y si su respuesta y la del cliente
> coinciden es entonces cuando tomo la autenticación como correcta.
> El SipCrack, lo que hace es lo siguiente, teniendo el reto ,que viene en
> los paquetes sip como "nonce" (creo),  saca el hash para cada una de las
> contraseñas que le pasas en el diccionario en uno de los parámetros y la
> compara y cuando una coincide es entonces cuando la da por valida (ojo,
> que no tiene porque ser la contraseña, podría ser una colisión).
> Siento la chapa, y espero no haber metido demasiado la pata, un saludo.

Muy interesante la referencia a la marca de tiempo (caducidad).




-- 
Iñaki Baz Castillo
ibc at in.ilimit.es

More information about the Users-es mailing list