Skip to main content
CISTI'2017 - 12ª Conferência Ibérica de Sistemas e Tecnologias de Informação

Full Program »

Acesso Não-Autorizado baseado em Redirecionamento HTTP e MitM

O HTTP Digest Access Authentication (DAA) é um protocolo de segurança amplamente utilizado em sistemas embarcados. Historicamente, o DAA apresentou vulnerabilidades que motivaram a revisão da sua especificação, incluindo o uso de autenticação mútua e a substituição da função hash MD5 pela SHA-256-512. Apesar de tais melhorias, o DAA ainda permanece vulnerável a determinados tipos de ataques, como o Man-in-the-Middle (MitM). Por essa razão, introduzimos neste artigo um método para teste de segurança de esquemas de autenticação e controle de acesso baseado em DAA, denominado Acesso Não-Autorizado baseado em redirecionamento HTTP e MitM (Unauthorized Access based on HTTP Redirection and MitM - UARiM). Como experimento para validação, aplicamos o método de teste proposto ao sistema de acesso remoto do recurso Active Management Technology (AMT) presente em processadores Intel Core vPro. Como resultado, apresentamos uma descrição das variações do método proposto, bem como outros sistemas vulneráveis. Por fim, discutimos sobre as possíveis contramedidas de segurança.

Author(s):

Tiago Ortiz    
Universidade Federal de São Paulo - UNIFESP
Brazil

Bruno Kimura    
Universidade Federal de São Paulo - UNIFESP
Brazil

Valério Rosset    
Universidade Federal de São Paulo - UNIFESP
Brazil

 

Powered by OpenConf®
Copyright ©2002-2016 Zakon Group LLC