Marco Civil da Internet Aprovado

[FrAAnKK Jr]

Cara, a merda pode piorar, sempre.

MPF vai investigar se criptografia usada pelo WhatsApp desrespeita a Constituicao - Convergncia Digital - Internet

[goldslash]

Por exemplo, como teste, utilizei um dork pelo google, pra achar sites vulneráveis a SQL Injection. Então, hackiei o site e consegui retirar informações do DB. Fui direto pra tabela "usuário" e depois fui atrás das colunas, "usuário", "senha", "nv acesso".

"
"

Como dá pra ver, nick do usuário desprotegido, mas a senha está em hash. Pegar uma de nível 3, que deve ser adm. Como ex: "NzM5NjE0". Base64 Decoder.
Ou seja, é basicamente base64, porém dependendo o site ainda se acham md5. Descriptografando fica: "739614". Aí é só utilizar o e-mail e entrar pela página de acesso... Site que usei como teste foi o "seulugaraqui.com".

[DiegoSestito]

Na sinceridade, acho que muita gente supervaloriza os sistemas de criptografia... Okay, uma das grandes defesas é que iria demorar séculos para quebrá-la... A questão é que isso em tese e segundo que isso é apenas considerando puro BRUTEFORCE. Por RAINBOW TABLES ou tantos outros métodos provavelmente até mais efetivos, não é dito nada.

Um exemplo, md5, que é uma função hash criptográfica, é bastante utilizada e reconhecidamente segura.
Alguns dos seus usos:

"Por ser um algoritmo unidirecional, uma hash md5 não pode ser transformada novamente no texto que lhe deu origem. O método de verificação é, então, feito pela comparação das duas hash (uma da mensagem original confiável e outra da mensagem recebida). O MD5 também é usado para verificar a integridade de um arquivo através, por exemplo, do programa md5sum, que cria a hash de um arquivo. Isto pode-se tornar muito útil para downloads de arquivos grandes, para programas que constroem o arquivo através de pedaços e estão sujeitos a corrupção dos mesmos. Como autenticação de login é utilizada em vários sistemas operacionais e em muitos sites com autenticação."

Entretanto, mesmo com tantas vantagens, existem alguns sites que conseguem fazer isso pra vc:
Hash Killer, Md5 Online, Md5 Decrypter

Obviamente eles não são tão efetivos, ou seja, na maioria dos casos te retorna erro, mas as vezes conseguem ajudar e pior é que funciona, é raro, mas acontece... Até não sei como é feito o processo, se é apenas um DB com as hashes e respectivas "resultados/senhas/plain text" e o campo de procura só consulta, ao invés de uma quebra, per se.

Não digo isso pra me achar o fodão, longe disso, sei o quanto noob e coitado sou na parada, não manjo nada MESMO, não sei praticamente NADA. Meu pc tá sempre com vírus!! Apenas reflito, sou assim desconfiando mesmo, porque há muitas coisas e segredos os quais não temos o menor conhecimento.

Embora isso seja somente opinião pessoal.

Cara, MD5 é não recomendado desde 1996... E na realidade, hashing não é encriptação.

Quero ver é quebrar SHA1.

[goldslash]

Cara, MD5 é não recomendado desde 1996... E na realidade, hashing não é encriptação. Quero ver é quebrar SHA1.

É porque tem muito site que utilizam ainda. Aonde vc achou essa informação de 96?
Creio que os sites não quebram, apenas comparam mesmo... SHA1 Decrypter

Foi só um exemplo, pode trocar se quiser... A questão é que normalmente consideram apenas força bruta e ignoram os outros tipos que podem ser até mais efetivos! Estratégia de marketing.

[DiegoSestito]

Cara, MD5 é não recomendado desde 1996... E na realidade, hashing não é encriptação. Quero ver é quebrar SHA1.

É porque tem muito site que utilizam ainda. Aonde vc achou essa informação de 96?
Creio que os sites não quebram, apenas comparam mesmo... SHA1 Decrypter

Sobre a diferença entre Hashing e Encripitação:
security - Fundamental difference between Hashing and Encryption algorithms - Stack Overflow

E é verdade, quebraram o SHA1 ano passado. Mas ainda tem o AES e o RSA. No longo prazo, a maior parte vai sendo quebrada mesmo, não tem jeito. Mas isso não quer dizer que não existe métodos seguros e não quebrados hoje em dia.

[goldslash]

É exemplo, não precisa ser exatamente igual pra entender a ideia. Aonde que eu digo hash=encriptação? LoL. Token também tem certas diferenças dos exemplos aí, entretanto a ideia, o objetivo é o mesmo, segurança.
As chaves não são nada mais que uma sequência de caracteres.

Porém, de fato, RSA é uma das mais famosas e seguras, sem dúvida. Não disse que não existe métodos seguros, apenas mostrei como estão ficados escassos. A onda agora é construir criptografia quântica utilizando computação quântica: Criptografia Quântica

[PebaVermelho]

@Kleber Eu iria tentar, tenho alguma noção de como funciona, meu 1ºtcc era sobre criptografias.

Entretanto, prefero não arriscar e cometer algum equívoco, logo vou colar aqui pra vc a ideia geral:

"A criptografia de ponta-a-ponta, como o nome sugere, protege todo o trajeto da comunicação entre as pontas (os participantes) de uma conversa. Com ela, nenhum intermediário, nem mesmo o WhatsApp, deve ser capaz de interferir na conversa e obter o conteúdo que foi compartilhado. Essa solução funciona a partir da troca de chaves criptográficas, a tecnologia responsável pelo processo que embaralha e codifica cada mensagem individualmente. A vantagem desse tipo de criptografia é que o processo é invisível e não exige nenhuma ação por parte dos usuários: as chaves são recebidas e utilizadas automaticamente.

No caso do WhatsApp, a troca é intermediada pelo aplicativo. Isso significa que uma falha de segurança no app ainda pode permitir que um espião interfira no processo de troca de chaves, violando a segurança e a privacidade da comunicação do mesmo jeito que seria possível antes do WhatsApp adotar a criptografia de ponta-a-ponta.

Como a comunicação passa a depender da segurança de um intermediário, o sigilo não está mais só nas mãos dos participantes da conversa. É por isso que o WhatsApp possui um meio de conferir se a troca de chaves ocorreu de maneira correta. Ou seja: se a chave recebida por seu amigo é a mesma que ele enviou, então está tudo certo e o processo ocorreu de maneira segura.

Mesmo com todos esses processos, um ataque é teoricamente possível. Criminosos ou espiões, porém, teriam uma dificuldade considerável para intervir no processo de troca de chaves, já que ele também é protegido por chaves criptográficas do próprio aplicativo.

Por outro lado, como o WhatsApp está intermediando essa troca, os desenvolvedores do aplicativo têm acesso às chaves que forem transmitidas. Isso, no entanto, não compromete o sigilo da conversa.

O sistema de criptografia usado no WhatsApp é "assimétrico", em que a chave usada para codificar uma mensagem no envio não é a mesma usada para decifrá-la quando ela é recebida. A chave capaz de decifrar as mensagens é diferente para cada usuário e fica somente no aparelho de telefone, não sendo transmitida ao WhatsApp. É por isso que a empresa não tem acesso ao conteúdo das chamadas e conversas."

Espero ter ajudado em algo. Abraço.

Po, o cara pediu uma explicação para dummies. Esse texto do G1 tá confuso pra caralho.

[goldslash]

@DiegoSestito Estava vendo algumas notícias e que susto, RSA foi quebrado em 2010 O.O
RSA de 1024 bits quebrado
RSA de 1024 bits quebrado - Pplware
PS: Notícia deve ser a msm, só replicada.

@PebaVermelho kkkkkkk. É que não está na íntegra, recortei umas partes, hahaha, pode ser isso que pode ter ficado confuso, foi mal.

[PebaVermelho]

Quem acha que é mole quebrar criptografia pode começar pelo Telegram. Tem um prêmio de uns 300 mil dólares oferecido a quem conseguir violar a criptografia deles. Até hoje não foi resgatado.

[goldslash]

Vcs tiltam mto, kkkkkkkk. Não é nada fácil quebrar criptografia, beirando o impossível... E ao mesmo tempo não dá pra acreditar nas empresas que se defendem falando que não suas tecnologias não são quebradas usando bruteforce... Pq os fodões usariam bruteforce que é basicamente a pior alternativa, a que consome o maior número de recursos e consequentemente a mais lenta?

Até nem compensa o esforço!

Não entrem em desespero... Ainda.