Una pequeña muestra que he encontrado en SecurityTube (el Youtube de la seguridad informática) de por qué no se deben hardcodear contraseñas en un binario:
Algo que pensar para aquellos desarrolladores de software que aún utilicen estas prácticas.
Al final del video el autor dice que colgará próximamente videos utilizando herramientas un poco más avanzadas como el IDA para ver que se puede sacar.
Los esperamos con impaciencia.
Algo que pensar para aquellos desarrolladores de software que aún utilicen estas prácticas.
Al final del video el autor dice que colgará próximamente videos utilizando herramientas un poco más avanzadas como el IDA para ver que se puede sacar.
Los esperamos con impaciencia.
He observado que el enlace no enlaza bien, da como un error de base de datos o algo así, no sé que pasará.
ResponderEliminarPara ver el video también podeis ir directamente a http://www.securitytube.net y mirar en los "recent", ahí está.
Thanks for the encouragement. Here is the next video in the series:
ResponderEliminarhttp://securitytube.net/Reverse-Engineering-101-(-Using-IDA-to-break-password-protections-)-video.aspx
Hope you like it.
Vivek
Supongo que la gran mayoría de las personas que leen este blog dominarán (o casi) el inglés, pero por si acaso, la traducción del post de vivek:
ResponderEliminar"Gracias por el apoyo, aquí está el siguiente video de la serie:
http://securitytube.net/Reverse-Engineering-101-(-Using-IDA-to-break-password-protections-)-video.aspx
Espero que os guste.
Vivek"
Hi vivek, thanks to you for posting these interesting videos.
ResponderEliminarWhat a great work!
-------------------------------
Hola vivek, gracias a ti por publicar estos videos tan interesantes.
Gran trabajo!
Hola, realmente muy interesante pero una consulta, que hacemos con las contraseñas que dan aceso a una base de datos ??
ResponderEliminarLo ideal es no harcodear la contraseña. Si puedes usar tecnologías tipo OAuth, basadas en tokens y permisos, mucho mejor.
ResponderEliminarSi no puedes, entonces tendrás que conformarte con usar certificados o contraseñas muy robustas, pero asegurarte de que las puedes cambiar periódicamente y que están en algún fichero de configuración para que no haya que sacar una release nueva.
Solo te hago un pequeño "brainstorming". Habría que ver el caso concreto para ver cual es la mejor manera de securizarlo.