Menéame: comentarios [2414059]

#51 Logjam, la nueva vulnerabilidad que permite interceptar datos cifrados

--23457-- — Sat, 23 May 2015 16:16:56 +0000

#50 No hace falta que lo busques, está aquí: es un protocolo (no un algoritmo)

» autor: --23457--

#50 Logjam, la nueva vulnerabilidad que permite interceptar datos cifrados

--478273-- — Fri, 22 May 2015 21:46:16 +0000

[Usuario deshabilitado]

» autor: --478273--

#49 Logjam, la nueva vulnerabilidad que permite interceptar datos cifrados

--254782-- — Fri, 22 May 2015 12:57:57 +0000

#45 estas asumiendo gratuitamente que demonice a microsoft, ni mucho menos; soy usuario de Windows 7 y después de XP para mi es el sistema que mejor ha ido de los que ha sacado. He instalado montones de Win7 en equipos de todos los colores, y hay que decir que va muy bien. Yo solo estoy criticando que se les ponga medallas por sacar parches, como si en el resto de S.O. no se hiciera y fuera algo excepcional de Microsoft. De la parte final de tu comentario, sin comentarios...

» autor: --254782--

#48 Logjam, la nueva vulnerabilidad que permite interceptar datos cifrados

--264484-- — Fri, 22 May 2015 09:25:02 +0000

#46 Deberías aprender a aceptar que otro tiene la razón, no hablo de conspiranoias, tú te has jactado de que el software propietario da respuesta antes y yo te he demostrado que fácilmente puede ser porque estaban trabajando directamente en el error, hasta aquí todo normal, pero esta respuesta te acaba de dejar en evidencia.

» autor: --264484--

#47 Logjam, la nueva vulnerabilidad que permite interceptar datos cifrados

Filosof — Thu, 21 May 2015 22:54:42 +0000

#44 No, es por tender a discusiones infinitas alejándose del tema original del meneo. PD: Soy bastante fanboy del SL, pero intento controlarme.

» autor: Filosof

#46 Logjam, la nueva vulnerabilidad que permite interceptar datos cifrados

--51656-- — Thu, 21 May 2015 22:29:18 +0000

#31 Yo ya tengo mi gorro de papel de aluminio en la cabeza, no sea que Steve Ballmer se toque mientras escucha mis pensamientos..
cc/ #6

» autor: --51656--

#45 Logjam, la nueva vulnerabilidad que permite interceptar datos cifrados

--51656-- — Thu, 21 May 2015 20:48:51 +0000

#43 Si estás "metido en el mundo de la informática" tienes que saber de sobra que todos los fabricantes de software sacan parches para sus sistemas casi "constantemente". Anda que no me he tirado rato actualizando paquetes en Ubuntu, Reh Hat.. Que un fabricante actualice es no solo bueno, sino deseable. Y no solo es para corregir, también para añadir nuevas funcionalidades.
En cuanto a la velocidad.. A mi me va estupendamente W7 en un pc con casi 10 años, un core duo. Ahora mismo estoy probando la beta de Visual Studio 2015 en esta maquina. Y tambien tengo un IIS y un SQL 2014, entre otras cosas. A lo mejor es que como también eres de "el mundo de la informática", se te ha colado un virus, un rootkit o similar mientras consumías pr0n.

» autor: --51656--

#44 Logjam, la nueva vulnerabilidad que permite interceptar datos cifrados

--254782-- — Thu, 21 May 2015 20:36:30 +0000

#19 vaya, ¿fanboy es ahora evidenciar que el software libre es tan bueno como el privativo? O que si esta vez Microsoft ha demostrado que puede buscar vulnerabilidades no quiere decir que ya el software privativo sea 100 veces mejor "porque mira como investigan"...

» autor: --254782--

#43 Logjam, la nueva vulnerabilidad que permite interceptar datos cifrados

--254782-- — Thu, 21 May 2015 20:32:25 +0000

#14 eso lo has dicho tu solito, estoy metido en el mundo de la informática y se de sobra que no por ser programador o similar ya tienes que encasquetarte en ese perfil que tu solo te has sacado de la manga.

Y por cierto, Microsoft invierte en seguridad porque queda bien y es su obligación, constantemente tiene que sacar parches para sus S.O., como para no invertir en seguridad... Entonces nos iría Windows a pedales día si día también.

» autor: --254782--

#42 Logjam, la nueva vulnerabilidad que permite interceptar datos cifrados

--23457-- — Thu, 21 May 2015 17:14:01 +0000

#25 TLS dependerá de Diffie-Hellman, pero Diffie-Hellman (el protocolo) no tiene ningun fallo.

Verás... Diffie-Hellman es un método de establecimiento de claves, asín, en abstracto, y la implementación que se hizo en varios sabores del TLS tiene un fallo. Obviamente si el motor de tu coche tiene un fallo mecánico es un fallo del motor de tu coche, no de los motores de combustión en general.

Está muy bien que hayas leído unos enlaces y ya te hayas dado cuenta de la tontería que dijiste en Diffie-Hellman es un protocolo (no un algoritmo) de intercambio de claves. No depende para nada de TLS (ni de sus versiones antiguas). Si te hace ilusión retorcerlo para hacer catarsis, pues muy bien, donde dijiste "digo" dices "leete este enlace que yo me acabo de enterar". Pero vamos, que me alegro de que hayas aprendido algo.

Hay que ser un poquito más humilde, hombre. Si te equivocas y te corrigen educadamente, pues aprendes y (ya sería la hostia) agradeces. Pero no vengas encima ahora de "os voy a dar unas clases"... Enga, un saludete

» autor: --23457--

#41 Logjam, la nueva vulnerabilidad que permite interceptar datos cifrados

--143520-- — Thu, 21 May 2015 15:40:53 +0000

#9 Sin saber mucho del tema, yo creo que alice no debería enviar fotos intimas a nadie. Ningún canal, ni protocolo, es totalmente seguro.

» autor: --143520--

#40 Logjam, la nueva vulnerabilidad que permite interceptar datos cifrados

--143520-- — Thu, 21 May 2015 15:38:24 +0000

#1 Letras: 1 Ciencias: 0

» autor: --143520--

#39 Logjam, la nueva vulnerabilidad que permite interceptar datos cifrados

apetor — Thu, 21 May 2015 12:48:13 +0000

#36 Generalmente se esperan semanas, y sí, eso incluye esperar al segundo martes de mes de microsoft más de una vez. Cada persona que encuentra vulnerabilidades es un mundo, pero sí, así es. Me toca de bastante cerca y esto es lo que hay. ¿ Que pueda haber alguno que no lo haga ? Sí, pero lo que aveces pasa es que se habla con las empresas y o tardan demasiado o pasan directamente.

» autor: apetor

#38 Logjam, la nueva vulnerabilidad que permite interceptar datos cifrados

Aokromes — Thu, 21 May 2015 11:24:36 +0000

#26 Parcialmente, aun hay paises a donde estan prohibidas de exportar.

» autor: Aokromes

#37 Logjam, la nueva vulnerabilidad que permite interceptar datos cifrados

l0b3zn0 — Thu, 21 May 2015 10:59:31 +0000

Dado que veo muchos comentarios un tanto desencaminados, os recomiendo que le echéis un ojo a:

- La fuente de la información (quienes publicaron el fallo): www.openssl.org/blog/blog/2015/05/20/logjam-freak-upcoming-changes/
- El paper técnico: weakdh.org/imperfect-forward-secrecy.pdf
- Los comentarios publicados por la gente del proyecto OpenSSL en relación al fallo publicado, y los cambios por venir en el proyecto: www.openssl.org/blog/blog/2015/05/20/logjam-freak-upcoming-changes/

Luego.. seguimos hablando de microsoft, de si TLS es o no vulnerable, de si el algoritmo tiene o no un fallo, y si es o no clave para que la explotación del fallos ea viable, la decisión de la administración Clinton en relación con el tamaño máximo de clave.

Señores, otros medios están titulando la noticia como "el fallo que la NSA podría haber estado usando para romper VPNs" (www.theregister.co.uk/2015/05/20/logjam_johns_hopkins_cryptoboffin_ids)

» autor: l0b3zn0

#36 Logjam, la nueva vulnerabilidad que permite interceptar datos cifrados

--264484-- — Thu, 21 May 2015 09:30:41 +0000

#31 ¿Responsible Disclosure es sacar el parche y dejar a los otros navegadores en bragas? ¿Crees que el resto ha pasado olímpicamente? Y no, no es lo que pasa casi siempre, generalmente Microsoft tarda más en sacar los parches (normal) pues salen una vez al mes, concretamente el segundo martes de cada mes, y solo cambian esa política en algunos 0 day, mientras el resto de navegadores pueden sacar su parche a los pocos días y por eso este caso canta como una almeja. El debate va de quién ha tenido la ventaja para sacar antes el parche porque un usuario ha utilizado esta "prueba empírica" para atacar al software libre.

» autor: --264484--

#35 Logjam, la nueva vulnerabilidad que permite interceptar datos cifrados

--312149-- — Thu, 21 May 2015 07:06:51 +0000

[Usuario deshabilitado]

» autor: --312149--

#34 Logjam, la nueva vulnerabilidad que permite interceptar datos cifrados

--312149-- — Thu, 21 May 2015 06:54:35 +0000

[Usuario deshabilitado]

» autor: --312149--

#33 Logjam, la nueva vulnerabilidad que permite interceptar datos cifrados

--312149-- — Thu, 21 May 2015 06:50:31 +0000

[Usuario deshabilitado]

» autor: --312149--

#32 Logjam, la nueva vulnerabilidad que permite interceptar datos cifrados

--312149-- — Thu, 21 May 2015 06:45:38 +0000

[Usuario deshabilitado]

» autor: --312149--

#31 Logjam, la nueva vulnerabilidad que permite interceptar datos cifrados

apetor — Thu, 21 May 2015 06:44:48 +0000

#6 y #7 A ver, esto que dices de que curiosamente se publica después de que haya salido el parche, etc. Es lo que ocurre casi siempre. Es parte de lo que se llama o conoce por Responsible Disclosure. Lo normal es que los que buscan vulnerabilidades contacten con las empresas implicadas e incluso pacten con ellos una fecha e incluso ayuden un poco a orientar el arreglo y demás. Y esto ocurre aunque no haya patrocinios ni la investigación haya sido pagada o hecha por la empresa ni nada. Otra cosa es cuando la empresa de turno pasa del tema y demás, pero vamos, ese margen se da la mayoría de veces. Después de eso el que ha descubierto la vulnerabilidad publica el tema, se lleva la gloria y el dinero, etc. No veáis conspiraciones donde no las hay.

» autor: apetor

#30 Logjam, la nueva vulnerabilidad que permite interceptar datos cifrados

ComfortablyNumb — Thu, 21 May 2015 06:24:20 +0000

#1 Jajajajajajajaja Muy bueno.

» autor: ComfortablyNumb

#29 Logjam, la nueva vulnerabilidad que permite interceptar datos cifrados

Filosof — Thu, 21 May 2015 06:05:03 +0000

#22 Y por cierto, hablando de conspiranoias, de la web orignal: "The regime was established by the Clinton administration so the FBI and other agencies could break the encryption used by foreign entities."

» autor: Filosof

#28 Logjam, la nueva vulnerabilidad que permite interceptar datos cifrados

Filosof — Thu, 21 May 2015 06:00:11 +0000

#22 Sé de lo que hablo, aunque puede que no me haya explicado bien. El hecho de poder romper el protocolo de intercambio de claves diffie-hellman es uno de los métodos posibles para romper el cifrado TLS. Aunque tienes razón, la parte de la frase "ya tienen capacidad de romper el siguiente cifrado que va a sustituir a diffie-hellman." es incorrecta. Gracias por hacérmelo ver a pesar del tono con el que lo haces.

» autor: Filosof

#27 Logjam, la nueva vulnerabilidad que permite interceptar datos cifrados

sotanez — Thu, 21 May 2015 05:55:27 +0000

Cabecera:

Expertos en seguridad han encontrado un fallo en el algoritmo de cifrado Diffie-Hellman

En la noticia:

Sin embargo, parece que hay varios problemas con cómo se ha implementado el Diffie-Helman

Ya me extrañaba a mí que a estas alturas encontraran un fallo de diseño en el Diffie-Hellman...

» autor: sotanez

#26 Logjam, la nueva vulnerabilidad que permite interceptar datos cifrados

--478273-- — Thu, 21 May 2015 05:14:37 +0000

[Usuario deshabilitado]

» autor: --478273--

#25 Logjam, la nueva vulnerabilidad que permite interceptar datos cifrados

--478273-- — Thu, 21 May 2015 05:13:29 +0000

[Usuario deshabilitado]

» autor: --478273--

#24 Logjam, la nueva vulnerabilidad que permite interceptar datos cifrados

bsysop — Thu, 21 May 2015 04:24:29 +0000

#22

» autor: bsysop

#23 Logjam, la nueva vulnerabilidad que permite interceptar datos cifrados

Capitan_Centollo — Thu, 21 May 2015 00:35:24 +0000

#3 No sé de dónde saca la gente que los errores en el software libre se resuelven antes. Se resuelven cuando se descubren, con los recursos de que se disponga, ni más ni menos. Lo bueno es que si es software libre podrás acceder a los cambios y comprobar tú mismo que efectivamente se han realizado, hacen bien su trabajo y no hay sorpresas raras, además de que se harán públicos con su consiguiente explicación detallada al respecto.

» autor: Capitan_Centollo

#22 Logjam, la nueva vulnerabilidad que permite interceptar datos cifrados

garnok — Thu, 21 May 2015 00:23:17 +0000

#21 no se que puñetas estas diciendo, diffie-hellman no es un metodo de cifrado, es un algoritmo de intercambio de claves. Anda inventarte conspiranoias de cosas del las que entiendas mínimamente o leete los meneos que comentas

» autor: garnok

#21 Logjam, la nueva vulnerabilidad que permite interceptar datos cifrados

Filosof — Wed, 20 May 2015 23:43:56 +0000

"Logjam nos muestra una vez más porqué es una idea terrible debilitar la criptografía de manera intencionada, justamente lo que el FBI y algunas agencias de seguridad quieren hacer ahora. Por ello ahora tenemos esa puerta trasera abierta de par en par, amenazando la seguridad de gran parte de la web." Jajajja, este amigo vive en los mundos de yupi.
Vamos a ver, las restricciones a la exportación de criptografía compleja (entre otras tecnologías) por parte de los EEUU tiene la única finalidad de mantener la supremacía tecnológica especialmente en el terreno militar.
A EEUU la 'seguridad' de gran parte de la red se la trae floja, lo que les preocupa son sus sistemas críticos.
Estoy convencido que la NSA conocía dicha vulnerabilidad y, por supuesto, la utilizaba.
Si ahora ha salido, ha sido porque no han podido comprar a este grupo de investigadores, o bien porque ya tienen capacidad de romper el siguiente cifrado que va a sustituir a diffie-hellman.
Un tema muy interesante, os recomiendo que si os sorprende busquéis en google o me preguntéis.

» autor: Filosof

#20 Logjam, la nueva vulnerabilidad que permite interceptar datos cifrados

Filosof — Wed, 20 May 2015 23:36:37 +0000

#11 Correcto, uno de los algoritmos especificados para una de las etapas de TLS es diffie-hellman, si este último tiene un fallo, el protocolo tiene un fallo. Es un poco confuso, pero creo que es así.
Ahora, si hacen una nueva versión del protocolo sin permitir dicho algoritmo, ya será otra cosa.

» autor: Filosof

#19 Logjam, la nueva vulnerabilidad que permite interceptar datos cifrados

Filosof — Wed, 20 May 2015 23:34:33 +0000

#13 Fanboys everywhere...

» autor: Filosof

#18 Logjam, la nueva vulnerabilidad que permite interceptar datos cifrados

Filosof — Wed, 20 May 2015 23:33:18 +0000

#14 ¿A qué va a ir allí? A empezar otra vez la argumentación totalmente lógica y loable que habéis tenido hasta tu último comentario? :
Tu insinuas que no es cierto que los errores en el SL se solucionen con anterioridad
Él comenta que en este caso, si tenían un poco de ventaja, pues había gente de MS estudiando el fallo
Tu comentas que MS invierte en seguridad
Él te da la razón
Tu lo envías a un punto anterior de la conversación
¿¿Por qué??

» autor: Filosof

#17 Logjam, la nueva vulnerabilidad que permite interceptar datos cifrados

Danae... — Wed, 20 May 2015 23:17:52 +0000

#3 Los parches de Microsoft, cuando se trata de solventar debilidades de la implementación de un algotitmo de cifrado
son una pura cuestión de fe.

El creyente la instala satisfecho, el ateo ni se plantea usar este sistema operativo, y el agnóstico es consciente de que nunca sabrá si están cerrando una puerta trasera o añadiendo otra nueva.

» autor: Danae...

#16 Logjam, la nueva vulnerabilidad que permite interceptar datos cifrados

--449180-- — Wed, 20 May 2015 23:09:31 +0000

#5 Es normal que excluyan a Safari, están hablando de navegadores...

» autor: --449180--

#15 Logjam, la nueva vulnerabilidad que permite interceptar datos cifrados

totope — Wed, 20 May 2015 23:03:11 +0000

#1 lo he pillado una vez he salido de la noticia y me he puesto a hacer otras cosas jajajajj

» autor: totope

#14 Logjam, la nueva vulnerabilidad que permite interceptar datos cifrados

--51656-- — Wed, 20 May 2015 23:02:20 +0000

#12 Si, resentido, gordo, sucio, sin sexo, devorador de pizza y con la cara llena de granos que me estallo contra la pantalla. Anda, goto #7 , don rey del destape.

» autor: --51656--

#13 Logjam, la nueva vulnerabilidad que permite interceptar datos cifrados

totope — Wed, 20 May 2015 23:02:15 +0000

#12 estoy contigo, siempre sale el tema y en ocasiones acaba eclipsando el argumento inicial.

» autor: totope

#12 Logjam, la nueva vulnerabilidad que permite interceptar datos cifrados

--254782-- — Wed, 20 May 2015 22:55:40 +0000

Me pregunto por qué en todas las entradas relacionadas con tecnología está el típico #3 (probable programador resentido) que viene a hablarnos de las maravillas del software privativo frente al libre con una ironía infumable... Y tan desmontable como que 3 comentarios más abajo #6 ya le ha destapado.

» autor: --254782--

#11 Logjam, la nueva vulnerabilidad que permite interceptar datos cifrados

--23457-- — Wed, 20 May 2015 22:47:56 +0000

#9 no puede ser. Diffie-Hellman es un protocolo (no un algoritmo) de intercambio de claves. No depende para nada de TLS (ni de sus versiones antiguas).

Pues no. Es TLS el que depende (en la mayoría de sus implementaciones, otras emplean RSA) y el que incluye el Diffie-Hellman.

Debo votar errónea.
Sin acritud, pero ¿no te parece un poco presuntuoso votar errónea siendo evidente que no dominas el tema?

» autor: --23457--

#10 Logjam, la nueva vulnerabilidad que permite interceptar datos cifrados

--479030-- — Wed, 20 May 2015 22:34:10 +0000

#9 y así salen esponjosas las magdalenas?

» autor: --479030--

#9 Logjam, la nueva vulnerabilidad que permite interceptar datos cifrados

seitansai — Wed, 20 May 2015 16:49:47 +0000

Debo votar errónea. Dice: "en este caso se debe principalmente a un fallo en el protocolo TLS en sí". Pues no puede ser. Diffie-Hellman es un protocolo (no un algoritmo) de intercambio de claves. No depende para nada de TLS (ni de sus versiones antiguas).

El protocolo, tal y como sale en Wikipedia:

Alice and Bob agree to use a prime number p = 23 and base g = 5 (which is a primitive root modulo 23).
Alice chooses a secret integer a = 6, then sends Bob A = ga mod p
A = 56 mod 23 = 8
Bob chooses a secret integer b = 15, then sends Alice B = gb mod p
B = 515 mod 23 = 19
Alice computes s = Ba mod p
s = 196 mod 23 = 2
Bob computes s = Ab mod p
s = 815 mod 23 = 2
Alice and Bob now share a secret (the number 2).

Nada que ver pues.

» autor: seitansai

#8 Logjam, la nueva vulnerabilidad que permite interceptar datos cifrados

--264484-- — Wed, 20 May 2015 15:38:12 +0000

#7 No, si no digo que no inviertan, lo que digo es que es normal que saquen antes el parche.

» autor: --264484--

#7 Logjam, la nueva vulnerabilidad que permite interceptar datos cifrados

--51656-- — Wed, 20 May 2015 15:31:48 +0000

#6 Pues no, yo diría que si Microsoft ha patrocinado la investigación, es que invierte en seguridad

» autor: --51656--

#6 Logjam, la nueva vulnerabilidad que permite interceptar datos cifrados

--264484-- — Wed, 20 May 2015 15:27:46 +0000

#3 El parche se publica (curiosamente) en el ciclo de actualizaciones programadas de Microsoft; el día 12 de la semana pasada, segundo marte de mes. technet.microsoft.com/library/security/MS15-055 ¡Qué casualidad!

Entonces veo algo curioso, en la página de los investigadores que prueba el bug en tu navegador: weakdh.org/ "This study was performed by computer scientists at Inria Nancy-Grand Est, Inria Paris-Rocquencourt, Microsoft Research, Johns Hopkins University, University of Michigan, and the University of Pennsylvania". Cualquiera diría que juegan con ventaja.

» autor: --264484--

#5 Logjam, la nueva vulnerabilidad que permite interceptar datos cifrados

--264484-- — Wed, 20 May 2015 15:01:48 +0000

#3 Eso de excluir a Safari en la lista... por no decir que IE no se mejora entre versión y versión, solo sacan parches de seguridad. Normal que tengan a sus equipos más "libres" de carga.

» autor: --264484--

#4 Logjam, la nueva vulnerabilidad que permite interceptar datos cifrados

--37472-- — Wed, 20 May 2015 14:35:14 +0000

[Usuario deshabilitado]

» autor: --37472--

#3 Logjam, la nueva vulnerabilidad que permite interceptar datos cifrados

--51656-- — Wed, 20 May 2015 13:50:06 +0000

"Microsoft ya ha lanzado un parche para Internet Explorer y se espera que lo mismo ocurra con Chrome, Firefox"
Los errores en el software libre se resuelven antes por la comunidad bla bla bla

» autor: --51656--

#2 Logjam, la nueva vulnerabilidad que permite interceptar datos cifrados

abuse — Wed, 20 May 2015 13:08:17 +0000

#1 www.youtube.com/watch?v=-RAc6a2jnu0

» autor: abuse

#1 Logjam, la nueva vulnerabilidad que permite interceptar datos cifrados

Azucena1980 — Wed, 20 May 2015 09:38:57 +0000

No tengo miedo, todos mis datos son letrados.

» autor: Azucena1980