A próxima semana será uma grande semana para Silverfort. Muitas pessoas da nossa equipe estão indo para a Califórnia para participar da conferência anual da RSA. Se você estiver visitando, venha nos encontrar em Moscone Sul no estande nº 3333.
Este ano é ainda mais especial para a nossa equipe. Estamos entusiasmados que um de nossos pesquisadores em ascensão, Dor Segal (que passou mais de uma década fazendo pesquisas de segurança depois de começar a trabalhar na unidade 8200 de Israel), revelará como os ataques MITM ainda podem contornar os sistemas modernos autenticação métodos como FIDO2.
A sessão de Dor explorará os pontos fortes e fracos da autenticação sem senha (FIDO2) e fundamentos do protocolo WebAuthn. Ele demonstrará como um ataque MITM padrão pode ser usado para sequestrar uma sessão autenticada FIDO2 como exemplo de método de autenticação moderno, replicar o token e usá-lo em outras sessões à vontade. Embora o FIDO2 melhore a segurança da autenticação, as suas defesas nem sempre se estendem à própria sessão. A forma como é implementado na maioria dos aplicativos, especificamente navegadores e SSO baseado na Web, deixa a sessão real exposta a comprometimentos.
Dor demonstrará um ataque MITM para mostrar como um invasor pode roubar credenciais de provedores de federação conhecidos, como Entra IDe ele proporá algumas técnicas de mitigação para gerentes e desenvolvedores de aplicativos. (Alerta de spoiler: Token Binding é essencial!)
Passe por esta sessão em Segunda-feira, 6 de maio às 10h50 em Moscone West, Sala 2014.
Vemo-nos lá!