Portada
mis comunidades
otras secciones
#3:
En principio esto sólo afecta si estás en Irán. Este certificado lo está usando el Gobierno iraní y, mas que para robar credenciales, lo utilizan para redirigir a través de sus servidores (sin que se note) el tráfico de los que se conectan a Gmail desde Irán, para "echar un vistazo".
Más info:
http://tech.slashdot.org/story/11/08/30/0253254/Another-CA-Issues-False-Certificates-To-Iran
https://bugzilla.mozilla.org/show_bug.cgi?id=682956
P.D.: no tiene desperdicio la foto del "hacker" que han puesto en el artículo de bitelia: http://s1.bitelia.com/files/2011/08/hacker-400x266.jpg
Más info:
http://tech.slashdot.org/story/11/08/30/0253254/Another-CA-Issues-False-Certificates-To-Iran
https://bugzilla.mozilla.org/show_bug.cgi?id=682956
P.D.: no tiene desperdicio la foto del "hacker" que han puesto en el artículo de bitelia: http://s1.bitelia.com/files/2011/08/hacker-400x266.jpg
#6:
El sistema de confianza en las CAs está totalmente desacreditado.
Os recomiendo anular la confianza del navegador en los certificados de Comodo y DigiNotar y aseguraros que vuestro navegador chequea por OCSP el certificado y lo da como inválido en caso de problemas (ver la imagen para la configuración de Firefox)
Echad un vistazo a las nuevas iniciativas que van surgiendo:
http://perspectives-project.org/
http://convergence.io/
En Perspectives tienen un complemento de Firefox que viene bien para comprobar si el certificado ha cambiado recientemente o si estás viendo uno distinto que el resto del mundo.
Os recomiendo anular la confianza del navegador en los certificados de Comodo y DigiNotar y aseguraros que vuestro navegador chequea por OCSP el certificado y lo da como inválido en caso de problemas (ver la imagen para la configuración de Firefox)
Echad un vistazo a las nuevas iniciativas que van surgiendo:
http://perspectives-project.org/
http://convergence.io/
En Perspectives tienen un complemento de Firefox que viene bien para comprobar si el certificado ha cambiado recientemente o si estás viendo uno distinto que el resto del mundo.
#7:
#3 Para nada. Afecta a todo el mundo que use DigiNotar, sin importar donde esté. No en vano aparece en cualquier Firefox como entidad certificadora de confianza. Y precisamente Mozilla está recomendando a sus usuarios borrarla o des-autorizarla como entidad de confianza:
https://support.mozilla.com/es/kb/eliminar-certificado-diginotar-ca
Se está traduciendo el artículo, por eso siguen en inglés.
Salu2
https://support.mozilla.com/es/kb/eliminar-certificado-diginotar-ca
Se está traduciendo el artículo, por eso siguen en inglés.
Salu2
Comentarios
En principio esto sólo afecta si estás en Irán. Este certificado lo está usando el Gobierno iraní y, mas que para robar credenciales, lo utilizan para redirigir a través de sus servidores (sin que se note) el tráfico de los que se conectan a Gmail desde Irán, para "echar un vistazo".
Más info:
http://tech.slashdot.org/story/11/08/30/0253254/Another-CA-Issues-False-Certificates-To-Iran
https://bugzilla.mozilla.org/show_bug.cgi?id=682956
P.D.: no tiene desperdicio la foto del "hacker" que han puesto en el artículo de bitelia: http://s1.bitelia.com/files/2011/08/hacker-400x266.jpg
#3 todo el mundo sabe que un hacker se pone un pasamontañas antes de atacar un servidor, y se bebe una botella de vino antes de saltarse los cortafuegos de un banco (véase operación swordfish)
#4 Y si le hacen un trabajito mientras hackea tanto mejor, 66% de incremento de velocidad (si además le apuntas con una pistola el bonus se duplica).
#3 Para nada. Afecta a todo el mundo que use DigiNotar, sin importar donde esté. No en vano aparece en cualquier Firefox como entidad certificadora de confianza. Y precisamente Mozilla está recomendando a sus usuarios borrarla o des-autorizarla como entidad de confianza:
https://support.mozilla.com/es/kb/eliminar-certificado-diginotar-ca
Se está traduciendo el artículo, por eso siguen en inglés.
Salu2
#7 Mozilla ha lanzado una actualización de Firefox que protegerte aún más. Actualiza tan pronto como te sea posible siguiendo los pasos que se describen en la sección Cómo compruebo las actualizaciones manualmente del artículo Actualizar Firefox .
... En el mismo enlace que das
#3 La foto ha salido de Fotolia, una web de fotografía de Stock
El sistema de confianza en las CAs está totalmente desacreditado.
Os recomiendo anular la confianza del navegador en los certificados de Comodo y DigiNotar y aseguraros que vuestro navegador chequea por OCSP el certificado y lo da como inválido en caso de problemas (ver la imagen para la configuración de Firefox)
Echad un vistazo a las nuevas iniciativas que van surgiendo:
http://perspectives-project.org/
http://convergence.io/
En Perspectives tienen un complemento de Firefox que viene bien para comprobar si el certificado ha cambiado recientemente o si estás viendo uno distinto que el resto del mundo.
#6 convergence no es compatible con firefox 6.0 según me indica.
#6 A mi en DigiNotar me aparece que para el correo electronico no se use, ¿será que Google ha modificado mis propiedas de navegador? (uso Chrome)
Varias cosas. En el artículo dice que la gente de Iran vio un aviso diciendo que el certificado no era valido. Realmente, el problema es que SI era valido, solo gente con extensiones especiales como #6 vería el aviso
Respecto a la CA, estan hundidos, y se lo merecen. Tras el otro caso del hacker, no va a colar que esta vez ha sido otro hacker irani (No digo que la otra vez fuera mentira, pero dos veces seguidas?). Esta claro que la CA colaboro con el gobierno y hay certificados y certificados. Si alguien de Iran te pide que emitas un certificado para gmail.com, no es el admin de google renovando su certificado
#6 El sistema de confianza en las CAs está totalmente desacreditado.
Esta desacreditado desde el momento en que lo único que necesitas para que la gente confíe en tu certificado es pagarlo.
Diginotar ya puede ir cerrando el chiringo. Acaban de perder el único activo de una autoridad certificadora, que es la confianza de sus clientes. Que los navegadores más importantes la saquen de su lista de CAs de confianza es su sentencia de muerte.
Comprendo que pueda haber una intrusión y se obtenga acceso a certificados... miento, no lo comprendo, pero entiendo que es posible.
Lo que no comprendo es como no se han dado cuenta inmediatamente y por que no han sido revocados inmediatamente.
Me encanta esa foto que usan los blogs de tecnología cuando quieren hablar de phising, hackers o cibercriminales. Un tío con un pasamontañas, corbata y un portátil. Es genial.
#9
¿ Tienen que poner a un gordo granudo pelanas ?
¿Todos los hackers son esquiadores? ¡Qué fotos pedorras ponen esta publicaciones!
El link que le falta al artículo:
http://support.mozilla.com/en-US/kb/deleting-diginotar-ca-cert
Me encanta como siguen redactando algunas noticias... no han hackeado ningún certificado de Google, simplemente han conseguido un certificado de una CA y lo han utilizado para hacer man in the middle.
Ya puestos, Chrome 13 alerta de este tipo de ataques, al igual que IE y Firefox aunque no con la configuración por defecto.
El problema sigue estando en cómo está montado todo el tema de las CA. Hace ya bastantes años, recuerdo que Joanna Rutkowska demostró que ni hacía falta hackear nada, con $200 podías comprar legítimamente un certificado que te sirviera para este tipo de cosas.
Pero en serio, ya cansa que cada vez que pasa algo así salgan los periodistas en plan "han hackeado Hotmail/Google/Skype/etc".
no me creo que google pagara a otra empresa para usar un certificado ssl...
#2 Google (de momento) no es una CA reconocida, así que tiene que recurrir a empresas que ofrezcan estos servicios y comprarles certificados digitales. No es una cuestión de capacidad empresarial o computacional.
#15 Exacto. En este caso, pagan a Thawte (Verisign). Y seguro que pagan una pasta
No termino de entender, como es tan laxa la legislación respecto a quienes y de que manera pueden erigirse en Autoridades de Certificación.
Al igual que en otros aspectos, debería haber un criterio legislado en cuanto a estandares y requisitos técnicos exigibles para ser reconocida como AC
¿O sea que los extraterrestres lograron evitar las medidas de seguridad de google?
Al margen de la imagen del "hacker"... ayer a la tarde me habían llegado DOS correos de PayPal a mi correo de GMail... curioso porque NO tengo cuenta en tal sitio. Ahora, al ver la noticia, empiezo a hilar cómo lo han hecho.
El caso es que alguien se había creado una cuenta en PayPal, con mi nombre, mi cuenta de correo y datos falsos. Y había adquirido una suscripción a una web en la que llevan opioniones de usuarios sobre compañías y tal.
Quise llamar a PayPal España, pero estaba cerrado. Llamé a PayPal-EEUU (desde el móvil, estaba por la calle), y conseguí que me pasaran con alguien que hablase castellano y les expliqué mi problema a DOS agentes distintos. Todos me pedían el número de tarjera de crédito usado en la cuenta, y no eran capaces de procesar que yo no había creado la cuenta y que por tanto, no podía ser. Y nada, que sin el número de tarjeta, no me anulaban la cuenta.
Más tarde, llamé de nuevo a PayPal EEUU y hablé con un tal Randy. Le expliqué el problema en macarronic-English, y dijo que OK, pero que no anulaban la cuenta, pero que sí iban a investigar lo sucecido ¿? y que si eso, ya me devolverían el dinero. WTF!?
Y le digo: ¡Que me han usurpado la identidad y el correo, no la cuenta bancaria ni la tarjeta! Y que en todo caso, no me pueden devolver lo que NO he pagado.
Y Randy contesta (en inglés, claro): Lo sé, señor, entiendo perfectamente el problema. Pero ya si eso, después de la investigación, me devolvían el dinero... Nada que cada uno a lo suyo.
Voy a ver si imprimo los correos y me voy a la policía a poner una denuncia: según un amigo, parece que solo con eso atienden a razones y cierran la p. cuenta.
yo creo que esta CA iba a desaparecer mas pronto que tarde y el dueño ha vendido por lo bajini este certificado y el de hace tiempo. Ahora la empresa se va a la mierda, como iba a pasar igualmente, y el con el dinero.
#18 Y te olvidas de los iluminati y los marcianos
pues que quereis que os diga, ayer mismo me salto un mensaje en gmail diciendome que se había abiereto mi cuenta de correo desde Egipto (y no es coña) He cambiado la contraseña pero no se si será suficiente
(REPITO, no es coña :S)
Basta de hackers con pasamontañas!
Acabo de echarle un vistazo al certificado que hay en el pastebin. Es un wildcard para google (*.google.com). Cuando conectamos por SSL a gmail, no vamos a gmail.com sino a mail.google.com. Lleva desde el 10 de julio activo
Y esto por que me sale ahora a mi? tiene algo que ver!?
Me sale esto...