TIPS TECNOLÓGICOS, DE CONFIGURACIÓN Y NEGOCIO QUE COMPLEMENTAN TU SEGURIDAD

Huawei con cifrado débil de contraseñas

Escrito por Grupo Smartekh on 28/11/12 10:03

Huawei es un fabricante chino de equipos destinados a la gestión de redes y telecomunicaciones,sin embargo últimamente están adentrándose en el mundo de los smartphones y las tablets; ya que se  ha descubierto que 
cifra las contraseñas de los productos de manera muy débil. Sabemos que existen diferentes maneras de almacenar contraseñas por parte de los dispositivos y sistemas; entre las más comunes se puede utilizar un hash de la contraseña. En el momento de verificar si un usuario es quien dice ser, a la contraseña introducida se le aplica la misma función hash que se usó a la hora de su almacenamiento. Si la cadena resultante es igual a la almacenada, se valida. Con este sistema no se guarda la contraseña en claro en ningún momento. Algo que también es muy común usar es  “
sal” para generar estos hashes; es así como, una de las entradas de la función hash sería la clave y otra la “
sal“, que  en realidad sólo se trata de ciertos bit aleatorios. Con esto se consiguen mitigar la eficacia de los ataques por diccionario. Sin embargo Huawei no usa ninguno de estos métodos.  El gran problema  reside en que los dispositivos usan un cifrado simétrico (algoritmo DES) con una misma clave de cifrado compartida entre todos los dispositivos (‘\x01\x02\x03\x04\x05\x06\x07\x08′).No se trata de una vulnerabilidad como tal, sino de un fallo de diseño por parte del fabricante por usar contraseñas comunes y no aleatorias para cada dispositivo. El problema fue identificado por Roberto Paleari e Ivan Speziale. Los investigadores han publicado un código en Python para extraer las contraseñas en claro, llamando a la función ‘
decrypt_password‘ El algoritmo de cifrado usado es DES con ECB (Electronic codebook), que es el método más simple al usar el algoritmo DES. El algoritmo transforma los caracteres ascii de la contraseña cifrada a binario (función ascii_to_binary), y posteriormente se queda con los 16 primeros bytes, eliminando el resto,después, aplica el descifrado del algoritmo DES en modo ECB con la clave \x01\x02\x03\x04\x05\x06\x07\x08 y elimina los caracteres NUL del final de la contraseña. El error ha sido confirmado en los productos de la familia Quidway y en los CX600 (routers y switches), aunque puede existir en más productos afectados. En  el comunicado oficial del fabricante se recomienda, como remedio temporal, limitar el acceso a los routers a los usuarios dentro de la red interna, gestionar estrictamente los privilegios de las cuentas y cambiar las contraseñas con regularidad. Para más información visita www.enfoqueseguro.com Realizado por Nataly Mejía. Marketing.

Topics: Lo más nuevo


Deja un comentario

No te pierdas lo mejor en Seguridad ¡Suscríbete al blog!

Lists by Topic

see all

Lo que se dice en Smartekh

ver lo mejor en Seguridad
CyberSecTrends2023
Smartekh Cloud Happy Hour
15-3
TikTok

¿Quieres hablar con un Consultor de Ciberseguridad?

Acerca de Smartekh

Creemos en en el poder que tiene la tecnología para hacer a las empresas más competitivas, desarrollar estrategias de seguridad de alto nivel y profesionales de TI expertos.

Creando sinergia entre tecnología, análisis y consultores expertos; generamos y complementamos la estrategia de seguridad con los más altos niveles de calidad, optimizando el desempeño y la operación del negocio.

Y lo hacemos de la mano de los líderes del sector TI, con un obsesivo compromiso a acelerar su éxito en cada paso al camino.

¿Listo para conocernos? ->

No te pierdas lo mejor de Smartekh

Contacto

[fa icon="phone"]  55 5047 1030

[fa icon="envelope"]  informacion@smartekh.com

[fa icon="home"]  Heriberto Frías 1451 Int. 101, Benito Juárez CDMX 03100

[fa icon="facebook-square"]Facebook [fa icon="linkedin-square"]Linkedin [fa icon="twitter-square"]Twitter [fa icon="pinterest-square"]Pinterest

Copyright 2024 | Diseñado con [fa icon="heart"] a la Seguridad por Smartekh
[fa icon="chevron-up"]Back to top