Menéame: comentarios [2366333]

#31 Nuevo bug encontrado en SSL/TLS (ENG)

--174-- — Thu, 05 Mar 2015 03:14:53 +0000

#12: Opera 12.16, de casi dos glaciaciones informáticas atrás, tampoco.

» autor: --174--

#30 Nuevo bug encontrado en SSL/TLS (ENG)

--143520-- — Wed, 04 Mar 2015 18:13:20 +0000

#24 En la misma página dice que ya está solucionado, no sé si te refieres a eso.

» autor: --143520--

#29 Nuevo bug encontrado en SSL/TLS (ENG)

--272073-- — Wed, 04 Mar 2015 15:52:16 +0000

#9 Con un ataque de plomo se puede romper esa seguridad.

» autor: --272073--

#28 Nuevo bug encontrado en SSL/TLS (ENG)

theM — Wed, 04 Mar 2015 13:18:49 +0000

#27 Salvo que lo que sea vulnerable sea Android, como el último error descubierto en el WebView que afecta a todos los Android 4.3 o anteriores y que Google ya no va a parchear. Si la aplicación usa WebViews, usa las que proporciona Android.
arstechnica.com/security/2015/01/google-wont-fix-bug-hitting-60-percen

» autor: theM

#27 Nuevo bug encontrado en SSL/TLS (ENG)

delawen — Wed, 04 Mar 2015 12:07:01 +0000

#24 Sigues necesitando un man-in-the-middle.

Y no hace falta actualizar todo Android, sólo las actualizaciones (la mayor parte de las veces automáticas) de las aplicaciones.

» autor: delawen

#26 Nuevo bug encontrado en SSL/TLS (ENG)

Nova6K0 — Wed, 04 Mar 2015 11:56:19 +0000

No se anteriores pero desde Firefox 36.0 no es vulnerable.

Salu2

» autor: Nova6K0

#25 Nuevo bug encontrado en SSL/TLS (ENG)

--407451-- — Wed, 04 Mar 2015 11:54:36 +0000

Nótese que uno de los descubridores del bug trabaja en un instituto de investigación español (IMDEA)

» autor: --407451--

#24 Nuevo bug encontrado en SSL/TLS (ENG)

theM — Wed, 04 Mar 2015 11:30:18 +0000

#21 En pocas horas y por menos de 100 dólares con un servicio en la nube puedes romper el cifrado. Y la clave que rompes está vigente mientras el servidor web esté arrancado, así que con la misma clave puedes capturar tráfico durante semanas o meses. Contando con que la mayoría de los móviles con Android nunca se van a parchear, yo lo veo bastante grave.
arstechnica.com/security/2015/03/freak-flaw-in-android-and-apple-devic

» autor: theM

#23 Nuevo bug encontrado en SSL/TLS (ENG)

angelitoMagno — Wed, 04 Mar 2015 11:16:23 +0000

Esto podría tener las mismas consecuencias que tuvo el Heartbleed.

Es decir, casi ninguna.

» autor: angelitoMagno

#22 Nuevo bug encontrado en SSL/TLS (ENG)

PythonMan8 — Wed, 04 Mar 2015 11:08:41 +0000

#8 Y aquí el enlace para instalarlo:

play.google.com/store/apps/details?id=org.mozilla.firefox&hl=es

» autor: PythonMan8

#21 Nuevo bug encontrado en SSL/TLS (ENG)

delawen — Wed, 04 Mar 2015 11:03:06 +0000

El ataque empieza porque puedes forzar a un servidor a usar una encriptación de "sólo" 512 bits. O sea, que los clientes que no acepten claves de "sólo" 512 bits, están a priori a salvo (que supongo que es el parche que están lanzando los navegadores). Y aún cuando uses 512 bits, eso no significa que sea fácil de desencriptar. Es sólo el límite que puso legalmente la NSA en los noventa para que el gobierno pudiera, tranquilamente y sin prisa, espiar a posteriori conversaciones de interés.

Luego continúa con un man-in-the-middle, que si tienes una buena seguridad en tu red, es más que difícil de conseguir.

Estoy con #15 y #19, es un bug de seguridad, pero no es ni mucho menos algo escandaloso. Requiere de de un trabajo previo a través de otros agujeros de seguridad o de ingeniería social (para hacerte el man-in-the-middle) y luego de paciencia desencriptando tus conversaciones.

» autor: delawen

#20 Nuevo bug encontrado en SSL/TLS (ENG)

--127714-- — Wed, 04 Mar 2015 10:55:38 +0000

Si estuviesen los servidores al día, esto no pasaría...

» autor: --127714--

#19 Nuevo bug encontrado en SSL/TLS (ENG)

kimbbo — Wed, 04 Mar 2015 10:53:40 +0000

"fácilmente crackeado...mediante ataques man-in-the-middle atacando conexiones seguras y sniffando contraseñas y otra información sensible"

Lo de fácilmente lo dirá por la facilidad y obviedad del bug para los cuñados hackers informáticos que por supuesto ya sabían como explotarlo.

» autor: kimbbo

#18 Nuevo bug encontrado en SSL/TLS (ENG)

dok — Wed, 04 Mar 2015 10:51:26 +0000

Pues a mi tanto firefox como chrome me dice la página de comprobación que son seguros.

» autor: dok

#17 Nuevo bug encontrado en SSL/TLS (ENG)

DirtyMac — Wed, 04 Mar 2015 10:50:22 +0000

#7 ¿Pero la tortilla debe ser con cebolla o sin?

» autor: DirtyMac

#16 Nuevo bug encontrado en SSL/TLS (ENG)

--193560-- — Wed, 04 Mar 2015 10:49:23 +0000

» autor: --193560--

#15 Nuevo bug encontrado en SSL/TLS (ENG)

--292212-- — Wed, 04 Mar 2015 10:48:33 +0000

"In practice, I don't think this is a terribly big issue, but only because you have to have many 'ducks in a row.'"

An attack also would require exploiting a server that includes the older cipher suite option, as well as reusing a key for a long period of time, and of course, a man-in-the middle attack via a local area network or a WiFi network, he says. "It's not so easy otherwise," from afar, he says.

Vamos, que se tienen que dar unas condiciones muy, muy particulares para explotar el fallo. Y el propio investigador dice que no es un problema terrible.

Sensacionalista.

» autor: --292212--

#14 Nuevo bug encontrado en SSL/TLS (ENG)

perrico — Wed, 04 Mar 2015 10:41:31 +0000

#13 El pendrive es más que hackeable.

» autor: perrico

#13 Nuevo bug encontrado en SSL/TLS (ENG)

TALIVAN_HORTOGRAFICO — Wed, 04 Mar 2015 10:17:43 +0000

#7 Y si hackearon los huevos? O la sarten?

» autor: TALIVAN_HORTOGRAFICO

#12 Nuevo bug encontrado en SSL/TLS (ENG)

--264484-- — Wed, 04 Mar 2015 10:09:19 +0000

#3 No sé qué versión de Chrome usa pero la última es la "41.0.2272.76 m" y no es vulnerable, tampoco IE 11 en W8.1 con todas las actualizaciones. Chrome en Android 5.0.1 (Nexus 4) sí es vulnerable, acabo de instalar Firefox en el móvil y no es vulnerable. También depende del servidor, hace un mes que salió OpenSSL 1.0.2, así que no costará ponerse al día.
Sitio de pruebas: freakattack.com

» autor: --264484--

#11 Nuevo bug encontrado en SSL/TLS (ENG)

kumo — Wed, 04 Mar 2015 09:37:22 +0000

El cifrado SSL/TLS puede ser fácilmente crackeado

Normalmente cuando ponen fácilmente quieren decir que después de no sé cuántos años de buscar el bug en el laboratorio han encontrado como explotarlo. Porque cuando algo es realmente fácilmente explotable, es explotado.

» autor: kumo

#10 Nuevo bug encontrado en SSL/TLS (ENG)

mcfgdbbn3 — Wed, 04 Mar 2015 09:31:53 +0000

Se dice "detalle", no fallo.

» autor: mcfgdbbn3

#9 Nuevo bug encontrado en SSL/TLS (ENG)

basajaun_1984 — Wed, 04 Mar 2015 09:16:52 +0000

Volveremos a las palomas mensajeras. Eso sí es seguro !

» autor: basajaun_1984

#8 Nuevo bug encontrado en SSL/TLS (ENG)

timonoj — Wed, 04 Mar 2015 03:29:52 +0000

Si utilizas android, pasa de Chrome e instala Firefox. Google espera sacar un parche en breve, pero Firefox no tiene este bug ya de primeras. Firefox en OSX también está libre del bug. Otras apps pueden estar igualmente expuestas, así que lo suyo es esperar a una actualización de sistema, pero por lo menos que la navegación sea segura.

» autor: timonoj

#7 Nuevo bug encontrado en SSL/TLS (ENG)

christatos — Wed, 04 Mar 2015 00:11:32 +0000

#6 Lo mejor es que metas el usb en unl bocata de tortilla y vayas a casa del tío al que quieres enviarle la información diciendo "ésto te lo ha preparado mi madre ~~guiño~~ y contiene algo muy fresquito -guiño, guiño" mientras le entregas el bocata.

» autor: christatos

#6 Nuevo bug encontrado en SSL/TLS (ENG)

--198199-- — Wed, 04 Mar 2015 00:08:28 +0000

Al final va a ser más seguro enviar los datos en claro

» autor: --198199--

#5 Nuevo bug encontrado en SSL/TLS (ENG)

--320894-- — Tue, 03 Mar 2015 23:40:09 +0000

#4 Corregido

» autor: --320894--

#4 Nuevo bug encontrado en SSL/TLS (ENG)

--281764-- — Tue, 03 Mar 2015 23:38:01 +0000

#2 En ese enlace no pone "esnifando" por ninguna parte

» autor: --281764--

#3 Nuevo bug encontrado en SSL/TLS (ENG)

--320894-- — Tue, 03 Mar 2015 23:36:05 +0000

El error es bastante grave. Más info:

putoinformatico.blogspot.com.es/2015/03/se-descubre-una-nueva-vulnerab

» autor: --320894--

#2 Nuevo bug encontrado en SSL/TLS (ENG)

--320894-- — Tue, 03 Mar 2015 23:16:58 +0000

#1 es.wikipedia.org/wiki/Anexo:Tipos_de_packet_sniffers

» autor: --320894--

#1 Nuevo bug encontrado en SSL/TLS (ENG)

bizagra — Tue, 03 Mar 2015 23:16:02 +0000

#0 ¿Esnifando? Vaya fiesta ¿no?

» autor: bizagra