Portada
mis comunidades
otras secciones
#15:
"In practice, I don't think this is a terribly big issue, but only because you have to have many 'ducks in a row.'"
An attack also would require exploiting a server that includes the older cipher suite option, as well as reusing a key for a long period of time, and of course, a man-in-the middle attack via a local area network or a WiFi network, he says. "It's not so easy otherwise," from afar, he says.
Vamos, que se tienen que dar unas condiciones muy, muy particulares para explotar el fallo. Y el propio investigador dice que no es un problema terrible.
Sensacionalista.
An attack also would require exploiting a server that includes the older cipher suite option, as well as reusing a key for a long period of time, and of course, a man-in-the middle attack via a local area network or a WiFi network, he says. "It's not so easy otherwise," from afar, he says.
Vamos, que se tienen que dar unas condiciones muy, muy particulares para explotar el fallo. Y el propio investigador dice que no es un problema terrible.
Sensacionalista.
#12:
#3 No sé qué versión de Chrome usa pero la última es la "41.0.2272.76 m" y no es vulnerable, tampoco IE 11 en W8.1 con todas las actualizaciones. Chrome en Android 5.0.1 (Nexus 4) sí es vulnerable, acabo de instalar Firefox en el móvil y no es vulnerable. También depende del servidor, hace un mes que salió OpenSSL 1.0.2, así que no costará ponerse al día.
Sitio de pruebas: https://freakattack.com
Sitio de pruebas: https://freakattack.com
#21:
El ataque empieza porque puedes forzar a un servidor a usar una encriptación de "sólo" 512 bits. O sea, que los clientes que no acepten claves de "sólo" 512 bits, están a priori a salvo (que supongo que es el parche que están lanzando los navegadores). Y aún cuando uses 512 bits, eso no significa que sea fácil de desencriptar. Es sólo el límite que puso legalmente la NSA en los noventa para que el gobierno pudiera, tranquilamente y sin prisa, espiar a posteriori conversaciones de interés.
Luego continúa con un man-in-the-middle, que si tienes una buena seguridad en tu red, es más que difícil de conseguir.
Estoy con #15 y #19, es un bug de seguridad, pero no es ni mucho menos algo escandaloso. Requiere de de un trabajo previo a través de otros agujeros de seguridad o de ingeniería social (para hacerte el man-in-the-middle) y luego de paciencia desencriptando tus conversaciones.
Luego continúa con un man-in-the-middle, que si tienes una buena seguridad en tu red, es más que difícil de conseguir.
Estoy con #15 y #19, es un bug de seguridad, pero no es ni mucho menos algo escandaloso. Requiere de de un trabajo previo a través de otros agujeros de seguridad o de ingeniería social (para hacerte el man-in-the-middle) y luego de paciencia desencriptando tus conversaciones.
Comentarios
#0 ¿Esnifando? Vaya fiesta ¿no?
#1 https://es.wikipedia.org/wiki/Anexo:Tipos_de_packet_sniffers
El error es bastante grave. Más info:
http://putoinformatico.blogspot.com.es/2015/03/se-descubre-una-nueva-vulnerabilidad-de.html
#2 En ese enlace no pone "esnifando" por ninguna parte
#4 Corregido
Al final va a ser más seguro enviar los datos en claro
#6 Lo mejor es que metas el usb en unl bocata de tortilla y vayas a casa del tío al que quieres enviarle la información diciendo "ésto te lo ha preparado mi madre
guiñoy contiene algo muy fresquito -guiño, guiño" mientras le entregas el bocata.Si utilizas android, pasa de Chrome e instala Firefox. Google espera sacar un parche en breve, pero Firefox no tiene este bug ya de primeras. Firefox en OSX también está libre del bug. Otras apps pueden estar igualmente expuestas, así que lo suyo es esperar a una actualización de sistema, pero por lo menos que la navegación sea segura.
Volveremos a las palomas mensajeras. Eso sí es seguro !
Se dice "detalle", no fallo.
El cifrado SSL/TLS puede ser fácilmente crackeado
Normalmente cuando ponen fácilmente quieren decir que después de no sé cuántos años de buscar el bug en el laboratorio han encontrado como explotarlo. Porque cuando algo es realmente fácilmente explotable, es explotado.
#3 No sé qué versión de Chrome usa pero la última es la "41.0.2272.76 m" y no es vulnerable, tampoco IE 11 en W8.1 con todas las actualizaciones. Chrome en Android 5.0.1 (Nexus 4) sí es vulnerable, acabo de instalar Firefox en el móvil y no es vulnerable. También depende del servidor, hace un mes que salió OpenSSL 1.0.2, así que no costará ponerse al día.
Sitio de pruebas: https://freakattack.com
#7 Y si hackearon los huevos? O la sarten?
#13 El pendrive es más que hackeable.
"In practice, I don't think this is a terribly big issue, but only because you have to have many 'ducks in a row.'"
An attack also would require exploiting a server that includes the older cipher suite option, as well as reusing a key for a long period of time, and of course, a man-in-the middle attack via a local area network or a WiFi network, he says. "It's not so easy otherwise," from afar, he says.
Vamos, que se tienen que dar unas condiciones muy, muy particulares para explotar el fallo. Y el propio investigador dice que no es un problema terrible.
Sensacionalista.
#5
#7 ¿Pero la tortilla debe ser con cebolla o sin?
Pues a mi tanto firefox como chrome me dice la página de comprobación que son seguros.
"fácilmente crackeado...mediante ataques man-in-the-middle atacando conexiones seguras y sniffando contraseñas y otra información sensible"
Lo de fácilmente lo dirá por la facilidad y obviedad del bug para los cuñados hackers informáticos que por supuesto ya sabían como explotarlo.
Si estuviesen los servidores al día, esto no pasaría...
El ataque empieza porque puedes forzar a un servidor a usar una encriptación de "sólo" 512 bits. O sea, que los clientes que no acepten claves de "sólo" 512 bits, están a priori a salvo (que supongo que es el parche que están lanzando los navegadores). Y aún cuando uses 512 bits, eso no significa que sea fácil de desencriptar. Es sólo el límite que puso legalmente la NSA en los noventa para que el gobierno pudiera, tranquilamente y sin prisa, espiar a posteriori conversaciones de interés.
Luego continúa con un man-in-the-middle, que si tienes una buena seguridad en tu red, es más que difícil de conseguir.
Estoy con #15 y #19, es un bug de seguridad, pero no es ni mucho menos algo escandaloso. Requiere de de un trabajo previo a través de otros agujeros de seguridad o de ingeniería social (para hacerte el man-in-the-middle) y luego de paciencia desencriptando tus conversaciones.
#8 Y aquí el enlace para instalarlo:
https://play.google.com/store/apps/details?id=org.mozilla.firefox&hl=es
Esto podría tener las mismas consecuencias que tuvo el Heartbleed.
Es decir, casi ninguna.
#21 En pocas horas y por menos de 100 dólares con un servicio en la nube puedes romper el cifrado. Y la clave que rompes está vigente mientras el servidor web esté arrancado, así que con la misma clave puedes capturar tráfico durante semanas o meses. Contando con que la mayoría de los móviles con Android nunca se van a parchear, yo lo veo bastante grave.
http://arstechnica.com/security/2015/03/freak-flaw-in-android-and-apple-devices-cripples-https-crypto-protection/
Nótese que uno de los descubridores del bug trabaja en un instituto de investigación español (IMDEA)
No se anteriores pero desde Firefox 36.0 no es vulnerable.
Salu2
#24 Sigues necesitando un man-in-the-middle.
Y no hace falta actualizar todo Android, sólo las actualizaciones (la mayor parte de las veces automáticas) de las aplicaciones.
#27 Salvo que lo que sea vulnerable sea Android, como el último error descubierto en el WebView que afecta a todos los Android 4.3 o anteriores y que Google ya no va a parchear. Si la aplicación usa WebViews, usa las que proporciona Android.
http://arstechnica.com/security/2015/01/google-wont-fix-bug-hitting-60-percent-of-android-phones/
#9 Con un ataque de plomo se puede romper esa seguridad.
#24 En la misma página dice que ya está solucionado, no sé si te refieres a eso.
#12: Opera 12.16, de casi dos glaciaciones informáticas atrás, tampoco.