Portada
Hace 9 años | Por jorchube a arstechnica.com
Publicado hace 9 años por jorchube a arstechnica.com
Nuevo bug encontrado en openSSL permite modificar y descifrar tráfico cifrado [EN]

Nuevo bug encontrado en openSSL permite modificar y descifrar tráfico cifrado [EN]

 arstechnica.com

Aún con el llamado "Heartbleed" reciente, un investigador ha descubierto un nuevo bug que permite a un atacante descifrar y/o modificar tráfico web, e-mail y VPN cifrado con el protocolo TLS, el método más usado para el cifrado de tráfico entre usuarios y servidores.

Etiquetas

DE3C548D-E347-406A-A60F-E6BBD322CAB7 2.9k 27

Comentarios

Patxi_

No es un bug, es una feature.

V 5
K 52
albandy

Si por desgracia os pasa como a mi que tengo que usar certificados de verisign o similares en los servidores, el bug de openssl o de cualquier otra libreria que lo sustituya le es indiferente a la NSA porque tiene las root keys.

Otra cosa seria ya a nivel de certificados autofirmados donde la nsa y cualquier otro que pudiera hacerte un mtm podria aprovechar la vulnerabilidad.

La cuestion es que se pueden desactivar los tipos de cifrafo como tls y sustituirlos por otros de complejidad similar a nivel de configuración de servidor. Si no me equivoco la instruccion es ciphersuite.

Hoy me va a tocar repasar configuraciones de apache aunque creo que esto ya lo tengo acotado por otro bug que hubo de tls.

V 3
K 37
u
editado

#12 La root key de Verisign te permite generar certificados falsos para un dominio y hacer un ataque Man in the Middle (MiM), pero no permite descifrar las comunicaciones realizadas con el certificado verdadero.

La NSA no lo usa porque es fácilmente detectable... cualquier servicio de notaría SSL te avisará que el certificado ha cambiado inexplicablemente e incluso algunos navegadores ya tienen funcionalidad para verificarlo. El gobierno francés ya lo intentó y consiguió esto:

Google descubre que el gobierno francés utilizaba certificados falsos para espiar a los usuarios

Hace 10 años | Por CeliaGomezCruz a redeszone.net
Publicado hace 10 años por CeliaGomezCruz a redeszone.net

Google descubre que el gobierno francés utilizaba ...

 redeszone.net


La NSA prefiere formas más sutiles, como por ejemplo, este bug.

V 4
K 43
dphi0pn

Ahora de repente os interesa vuestra ciberseguridad así como quien no quiere la cosa eso sí, seguís usando software privativo. Propongo añadir un icono en menéame de Luser

V 3
K 17
g

#18 tu te sientes muy seguro con su software libre ¿verdad?. Seguro que no envías correos, ni mandas información a través de Internet, ni usas servicios de otras empresas. A día de hoy no tiene sentido tener una puerta trasera en los SO, con pincharte Internet ya sabrá todo lo que tienen que saber. Contra eso solo puedes cifrar tus comunicaciones pero claro, el otro lado tiene que saber descifrarlas.

V 2
K 5
dphi0pn

#23 la ignorancia es atrevida

V 1
K 15
D

http://www.thewhir.com/web-hosting-news/japanese-researcher-discovers-16-year-old-openssl-bug-enables-man-middle-attacks

Qué épico todo... No me cuadra mucho las versiones afectadas que dicen en ars technica.

V 0
K 11
Wheresthebunny

¿Agujeros de seguridad o puertas traseras hechas a la medida para la NSA?

V 0
K 8
Jakeukalane

(Reading database ... 355448 files and directories currently installed.)Preparing to replace libssl1.0.0 1.0.1-4ubuntu5.13 (using .../libssl1.0.0_1.0.1-4ubuntu5.14_i386.deb) ...Unpacking replacement libssl1.0.0 ...Setting up libssl1.0.0 (1.0.1-4ubuntu5.14) ...Processing triggers for libc-bin ...ldconfig deferred processing now taking place(Reading database ... 355448 files and directories currently installed.)Preparing to replace openssl 1.0.1-4ubuntu5.13 (using .../openssl_1.0.1-4ubuntu5.14_i386.deb) ...Unpacking replacement openssl ...Processing triggers for man-db ...aquetes ...Preconfigurando paquetes ...Preconfigurando paquetes ...(Reading database ... 355448 files and directories currently installed.)Preparing to replace libssl1.0.0 1.0.1-4ubuntu5.13 (using .../libssl1.0.0_1.0.1-4ubuntu5.14_i386.deb) ...Unpacking replacement libssl1.0.0 ...Setting up libssl1.0.0 (1.0.1-4ubuntu5.14) ...Processing triggers for libc-bin ...ldconfig deferred processing now taking place(Reading database ... 355448 files and directories currently installed.)Preparing to replace openssl 1.0.1-4ubuntu5.13 (using .../openssl_1.0.1-4ubuntu5.14_i386.deb) ...Unpacking replacement openssl ...Processing triggers for man-db ...

V 0
K 8
D

Lo de heartbeat era muy grave, especialmente teniendo en cuenta que debería ser algo básico que debería estar más que controlado. Por otra parte, tampoco hay que pensar que el que se encuentren fallos sea sinónimo de que la seguridad es mala, o de que es un sistema peor que otro en el que no hay encontrado nada.

Quizás estoy siendo muy filosófico, pero esto de forma aislada no debería ser preocupante, sí son muy preocupantes cosas como que una herramienta pública de uso tan extendido no sea auditada o alguien introduzca estos fallos (saboteando) en el código.

V 0
K 7
piki.g.saraza

#19 aunque también podría haber puesto ¿AY piedad en meneame?

V 0
K 6
M
editado

En realidad en total son siete de las cuales esta es la más grave:

La primera que es esta, permite interceptar tráfico cifrado y descifrarlo porque fuerza al cliente a usar claves débiles.
LA segunda permite ejecución remota de código en clientes y servidores.
Las restantes permiten ataques de denegación de servicio.

http://unaaldia.hispasec.com/2014/06/openssl-corrige-nuevas-vulnerabilidades.html

Y hace poco salió en GnuTLS "una vulnerabilidad de desbordamiento de búfer en la librería GnuTLS que podría permitir a un atacante remoto tomar el control de los sistemas afectados. "

http://unaaldia.hispasec.com/2014/06/vulnerabilidad-de-ejecucion-de-codigo.html

V 0
K 6
Candidatas
8
meneos
tecnología La Comisión Europea ata en corto a Shein: es una plataforma grande y tendrá que luchar (más) contra las falsificaciones
13
meneos
tecnología Amazon Prime Vídeo te estafa. Que no te tomen el pelo
9
meneos
tecnología La Mega Drive llega a España
12
meneos
tecnología Arranca el ejercicio internacional de ciberdefensa 'Locked Shields 2024' con la participación de 200 españoles
6
meneos
tecnología Investigadores de HKU Engineering descubren la clave para lograr células solares orgánicas eficientes y estables (eng)
23
meneos
tecnología Publicado el código fuente de DOS 4.0 (ENG)
11
meneos
tecnología Siemens Gamesa planea instalar un aerogenerador de 21 MW, el más potente del mundo
44
meneos
tecnología Policía quiere eliminar la comunicación cifrada de extremo
16
meneos
tecnología Escándalo en la Industria Tecnológica: Super Micro acusada de vender GPUs prohibidas a China
19
meneos
tecnología EEUU lanza por sorpresa su primer misil hipersónico para cazas de combate
14
meneos
tecnología La fotovoltaica da el ‘sorpasso’ a los ciclos combinados: alcanza los 26.260 MW y se convierte en la segunda fuente tras la eólica
10
meneos
tecnología PROSOLAR BIRDS, El original invento desarrollado en España para proteger los paneles solares de los excrementos de los pájaros
9
meneos
tecnología Sólo hay que añadir agua: Crea tus propios muebles con estos diseños de esponjas emergentes (ENG)
9
meneos
tecnología ¿Internet está muerto?: la teoría conspirativa que podría volverse realidad en apenas unos años
11
meneos
tecnología Tecnoestrés, fatiga informática y el derecho a la desconexión digital en el ámbito laboral
8
meneos
tecnología TikTok: vender o cerrar
8
meneos
tecnología Black Basta, el principal sospechoso en el ciberataque a Ayesa
15
meneos
tecnología El proyecto Alia, el 'ChatGPT español' que entrena el Gobierno: "La calidad de las respuestas va a ser mucho mejor"
8
meneos
tecnología Los trucos de los hackers de Super Mario podrían proteger el software de errores, según un estudio (eng)
S

Al paso que vamos, OpenSSL va a ser el equivalente a estos video porteros-cerraduras-electrónicas: Hacking de porteros y vídeo-porteros automáticos

Hace 9 años | Por StoneBeat a securitybydefault.com
Publicado hace 9 años por StoneBeat a securitybydefault.com

Hacking de porteros y vídeo-porteros automáticos

 securitybydefault.com
lol

V 0
K 6
satartic

A ver si LibreSSL es la alternativa real

V 0
K 6
a

#10 Probablemente no lo sea. Los medios de la Core Infrastructure Initiative se están centrando en OpenSSL, así que posiblemente sea esta la que acabe sobreviviendo.

V 4
K 43
meneandro

#10 Es una limpieza en serio del código, seguramente los errores de base que no encuentren durante el proceso serán compartidos, pero habrán muchos errores en partes de código inútiles que se quitarán de encima.

Al final toda esta estrategia de desprestigiar openSSL y GnuTLS y otras terminará convirtiéndolas en librerías mucho más seguras. Ahora mismo están siendo auditadas (sobre todo la primera) por los famosos miles de ojos, seguirán saliendo fallos en próximas fechas, pero el lado bueno es que todos se irán tapando y en el fondo esto será bueno para todos.

V 6
K 55
Z

¿Nadie recuerda una vieja norma que no se ha roto en cientos o miles de años? Si se puede ver, se puede copiar.
Nada es perfecto, todo lo es susceptible de tener errores.

V 4
K -23
o

#8 Copiar no es lo mismo que leer, copiar un archivo cifrado sin capacidad de abrirlo es como copiar ruido blanco.

V 5
K 56
D

Ha saber si estaba detectado de hace mucho tiempo y por interés por ejemplo NSA

V 11
K -42
The_Hoff

#1 desgraciadamente parece que Ha estado más tiempo sin detectar que tu "Ha"

V 13
K 113
D

#2 Ups!! vaya HA los smartphone + comentar rápidamente en meneame. Perdón lo he visto y me duele los ojos!!

V 6
K 58
StuartMcNight

#2 #7 Que no os despiste, ese HA tan evidente le ha delatado. Es un agente de la NSA que pretende redirigir los comentarios de meneame a una lucha ortográfica.

V 4
K 35
K

#1 La NSA, por mucho que nos quieran hacer creer, no es dios

V 9
K 48
jorchube
autor

#3 Aunque coincido contigo, con la de cosas que están apareciendo últimamente en bibliotecas como openssl o gnutls (que tampoco se libra), si cualquier organización se hubiera decidido a dedicarle recursos seriamente a investigarlas desde hace tiempo, si que es posible que hubiera conseguido hacerse con una buena colección de agujeritos por donde asomar el ojo...

V 10
K 95
Magankie

#1 Ha estado HA punto de acertar.

Coñas a parte, me da que hay más ingenieros intentando descubrir agujeros en openssl que desarrollándolo. Y es que, queramos o no, es más importante el espionaje que el desarrollo...

V 5
K 51
piki.g.saraza

#7 ¿Hay piedad en meneame? NO SENSEI! la piedad es para los débiles.
jajaja.

V 0
K 6
atl3

#1 Hamigo... No se te escapa ni huna jeje

V 4
K 41