Honey Encryption o la desolación de los crackers de contraseñas

Hoy en día Internet está repleto de múltiples trampas que tienen como objetivo identificar y estudiar la actividad y el comportamiento de los hackers. La mayoría son honeypots o honeynets que simulan ser sistemas reales expuestos, desactualizados o mal configurados de forma intencionada y que esperan como un caramelo en la puerta de un colegio a que un atacante intente abrirlo para registrar todos sus movimientos.

Sin embargo hasta ahora no se había orquestado una trampa para los crackers que intentan descifrar datos mediante ataques de fuerza bruta...

Hemos escuchado muchas veces acerca de robos de base de datos de contraseñas con miles de hashes (md5 por ejemplo). El siguiente paso natural suele ser lanzar un ataque de diccionario para obtener las passwords en texto claro. Imaginad si cada vez que una contraseña o clave de cifrado es descubierto el sistema responde mediante datos falsos al intruso (una putada). La cadena se asemeja a los datos reales hasta el punto de que los atacantes no podrán decir lo que es y no es real. Así que incluso cuando el hacker "adivina" la contraseña real, la información real se pierde por completo entre la masa de datos falsos que lo rodean.

Esto es lo que Ari Juels, ex-RSA, y Thomas Ristenpart, de la Universidad de Wisconsin, han ideado mediante Honey Encryption, un método que añade un mecanismo de seguridad engañoso que promete hacer muy arduo el camino de los crackers. Ambos presentarán su paper "Honey Encryption: Security Beyond the Brute-Force Bound" en la Conferencia Eurocrypt 2014 que tendrá lugar el 11 a 15 mayo en Copenhague, Dinamarca.


Fuentes:
- Honey Encryption Tricks Hackers with Decryption Deception 
- ‘Honey Encryption’ bamboozles hackers with fake data
- Latest encryption trick to thwart hackers is as sweet as Honey
- Sneaky "Honey Encryption" Stops Hackers By Drowning Them in Phony Data

2 comentarios :

  1. Y yo que hace un par de semanas se me ocurrió agregar al sitio una capa de seguridad de claves falsas...supongo que me faltó academia xD Bueno, si da para paper, supongo que es mucho mas complejo que eso

    ResponderEliminar
    Respuestas
    1. el paper promete sí... habrá que estar atentos..
      En tu caso, ¿llegaste a desarrollar y aplicar la capa de seguridad de claves falsas que comentas?

      Eliminar