Menéame: comentarios [2192489]

#27 Nuevo bug encontrado en openSSL permite modificar y descifrar tráfico cifrado [EN]

SparcZ — Fri, 06 Jun 2014 16:52:11 +0000

Al paso que vamos, OpenSSL va a ser el equivalente a estos video porteros-cerraduras-electrónicas: www.meneame.net/story/hacking-porteros-video-porteros-automaticos

» autor: SparcZ

#26 Nuevo bug encontrado en openSSL permite modificar y descifrar tráfico cifrado [EN]

--143520-- — Fri, 06 Jun 2014 15:49:04 +0000

Lo de heartbeat era muy grave, especialmente teniendo en cuenta que debería ser algo básico que debería estar más que controlado. Por otra parte, tampoco hay que pensar que el que se encuentren fallos sea sinónimo de que la seguridad es mala, o de que es un sistema peor que otro en el que no hay encontrado nada.

Quizás estoy siendo muy filosófico, pero esto de forma aislada no debería ser preocupante, sí son muy preocupantes cosas como que una herramienta pública de uso tan extendido no sea auditada o alguien introduzca estos fallos (saboteando) en el código.

» autor: --143520--

#25 Nuevo bug encontrado en openSSL permite modificar y descifrar tráfico cifrado [EN]

Jakeukalane — Fri, 06 Jun 2014 13:52:15 +0000

(Reading database ... 355448 files and directories currently installed.)Preparing to replace libssl1.0.0 1.0.1-4ubuntu5.13 (using .../libssl1.0.0_1.0.1-4ubuntu5.14_i386.deb) ...Unpacking replacement libssl1.0.0 ...Setting up libssl1.0.0 (1.0.1-4ubuntu5.14) ...Processing triggers for libc-bin ...ldconfig deferred processing now taking place(Reading database ... 355448 files and directories currently installed.)Preparing to replace openssl 1.0.1-4ubuntu5.13 (using .../openssl_1.0.1-4ubuntu5.14_i386.deb) ...Unpacking replacement openssl ...Processing triggers for man-db ...aquetes ...Preconfigurando paquetes ...Preconfigurando paquetes ...(Reading database ... 355448 files and directories currently installed.)Preparing to replace libssl1.0.0 1.0.1-4ubuntu5.13 (using .../libssl1.0.0_1.0.1-4ubuntu5.14_i386.deb) ...Unpacking replacement libssl1.0.0 ...Setting up libssl1.0.0 (1.0.1-4ubuntu5.14) ...Processing triggers for libc-bin ...ldconfig deferred processing now taking place(Reading database ... 355448 files and directories currently installed.)Preparing to replace openssl 1.0.1-4ubuntu5.13 (using .../openssl_1.0.1-4ubuntu5.14_i386.deb) ...Unpacking replacement openssl ...Processing triggers for man-db ...

» autor: Jakeukalane

#24 Nuevo bug encontrado en openSSL permite modificar y descifrar tráfico cifrado [EN]

dphi0pn — Fri, 06 Jun 2014 13:19:51 +0000

#23 la ignorancia es atrevida

» autor: dphi0pn

#23 Nuevo bug encontrado en openSSL permite modificar y descifrar tráfico cifrado [EN]

giropau — Fri, 06 Jun 2014 12:39:44 +0000

#18 tu te sientes muy seguro con su software libre ¿verdad?. Seguro que no envías correos, ni mandas información a través de Internet, ni usas servicios de otras empresas. A día de hoy no tiene sentido tener una puerta trasera en los SO, con pincharte Internet ya sabrá todo lo que tienen que saber. Contra eso solo puedes cifrar tus comunicaciones pero claro, el otro lado tiene que saber descifrarlas.

» autor: giropau

#22 Nuevo bug encontrado en openSSL permite modificar y descifrar tráfico cifrado [EN]

Marx — Fri, 06 Jun 2014 12:15:14 +0000

En realidad en total son siete de las cuales esta es la más grave:

La primera que es esta, permite interceptar tráfico cifrado y descifrarlo porque fuerza al cliente a usar claves débiles.
LA segunda permite ejecución remota de código en clientes y servidores.
Las restantes permiten ataques de denegación de servicio.

unaaldia.hispasec.com/2014/06/openssl-corrige-nuevas-vulnerabilidades.

Y hace poco salió en GnuTLS "una vulnerabilidad de desbordamiento de búfer en la librería GnuTLS que podría permitir a un atacante remoto tomar el control de los sistemas afectados. "

unaaldia.hispasec.com/2014/06/vulnerabilidad-de-ejecucion-de-codigo.ht

» autor: Marx

#21 Nuevo bug encontrado en openSSL permite modificar y descifrar tráfico cifrado [EN]

Wheresthebunny — Fri, 06 Jun 2014 11:28:32 +0000

¿Agujeros de seguridad o puertas traseras hechas a la medida para la NSA?

» autor: Wheresthebunny

#20 Nuevo bug encontrado en openSSL permite modificar y descifrar tráfico cifrado [EN]

piki.g.saraza — Fri, 06 Jun 2014 09:28:43 +0000

#19 aunque también podría haber puesto ¿AY piedad en meneame?

» autor: piki.g.saraza

#19 Nuevo bug encontrado en openSSL permite modificar y descifrar tráfico cifrado [EN]

piki.g.saraza — Fri, 06 Jun 2014 09:22:23 +0000

#7 ¿Hay piedad en meneame? NO SENSEI! la piedad es para los débiles.
jajaja.

» autor: piki.g.saraza

#18 Nuevo bug encontrado en openSSL permite modificar y descifrar tráfico cifrado [EN]

dphi0pn — Fri, 06 Jun 2014 08:56:38 +0000

Ahora de repente os interesa vuestra ciberseguridad así como quien no quiere la cosa eso sí, seguís usando software privativo. Propongo añadir un icono en menéame de Luser

» autor: dphi0pn

#17 Nuevo bug encontrado en openSSL permite modificar y descifrar tráfico cifrado [EN]

--127714-- — Fri, 06 Jun 2014 08:50:45 +0000

www.thewhir.com/web-hosting-news/japanese-researcher-discovers-16-year

Qué épico todo... No me cuadra mucho las versiones afectadas que dicen en ars technica.

» autor: --127714--

#16 Nuevo bug encontrado en openSSL permite modificar y descifrar tráfico cifrado [EN]

meneandro — Fri, 06 Jun 2014 08:00:24 +0000

#10 Es una limpieza en serio del código, seguramente los errores de base que no encuentren durante el proceso serán compartidos, pero habrán muchos errores en partes de código inútiles que se quitarán de encima.

Al final toda esta estrategia de desprestigiar openSSL y GnuTLS y otras terminará convirtiéndolas en librerías mucho más seguras. Ahora mismo están siendo auditadas (sobre todo la primera) por los famosos miles de ojos, seguirán saliendo fallos en próximas fechas, pero el lado bueno es que todos se irán tapando y en el fondo esto será bueno para todos.

» autor: meneandro

#15 Nuevo bug encontrado en openSSL permite modificar y descifrar tráfico cifrado [EN]

unaiur — Fri, 06 Jun 2014 07:14:41 +0000

#12 La root key de Verisign te permite generar certificados falsos para un dominio y hacer un ataque Man in the Middle (MiM), pero no permite descifrar las comunicaciones realizadas con el certificado verdadero.

La NSA no lo usa porque es fácilmente detectable... cualquier servicio de notaría SSL te avisará que el certificado ha cambiado inexplicablemente e incluso algunos navegadores ya tienen funcionalidad para verificarlo. El gobierno francés ya lo intentó y consiguió esto:

www.meneame.net/story/google-descubre-gobierno-frances-utilizaba-certi

La NSA prefiere formas más sutiles, como por ejemplo, este bug.

» autor: unaiur

#14 Nuevo bug encontrado en openSSL permite modificar y descifrar tráfico cifrado [EN]

atl3 — Fri, 06 Jun 2014 07:04:22 +0000

#1 Hamigo... No se te escapa ni huna jeje

» autor: atl3

#13 Nuevo bug encontrado en openSSL permite modificar y descifrar tráfico cifrado [EN]

StuartMcNight — Fri, 06 Jun 2014 06:59:34 +0000

#2 #7 Que no os despiste, ese HA tan evidente le ha delatado. Es un agente de la NSA que pretende redirigir los comentarios de meneame a una lucha ortográfica.

» autor: StuartMcNight

#12 Nuevo bug encontrado en openSSL permite modificar y descifrar tráfico cifrado [EN]

albandy — Fri, 06 Jun 2014 06:49:27 +0000

Si por desgracia os pasa como a mi que tengo que usar certificados de verisign o similares en los servidores, el bug de openssl o de cualquier otra libreria que lo sustituya le es indiferente a la NSA porque tiene las root keys.

Otra cosa seria ya a nivel de certificados autofirmados donde la nsa y cualquier otro que pudiera hacerte un mtm podria aprovechar la vulnerabilidad.

La cuestion es que se pueden desactivar los tipos de cifrafo como tls y sustituirlos por otros de complejidad similar a nivel de configuración de servidor. Si no me equivoco la instruccion es ciphersuite.

Hoy me va a tocar repasar configuraciones de apache aunque creo que esto ya lo tengo acotado por otro bug que hubo de tls.

» autor: albandy

#11 Nuevo bug encontrado en openSSL permite modificar y descifrar tráfico cifrado [EN]

acl — Fri, 06 Jun 2014 06:04:23 +0000

#10 Probablemente no lo sea. Los medios de la Core Infrastructure Initiative se están centrando en OpenSSL, así que posiblemente sea esta la que acabe sobreviviendo.

» autor: acl

#10 Nuevo bug encontrado en openSSL permite modificar y descifrar tráfico cifrado [EN]

satartic — Fri, 06 Jun 2014 05:16:20 +0000

A ver si LibreSSL es la alternativa real

» autor: satartic

#9 Nuevo bug encontrado en openSSL permite modificar y descifrar tráfico cifrado [EN]

oxelo — Fri, 06 Jun 2014 05:02:36 +0000

#8 Copiar no es lo mismo que leer, copiar un archivo cifrado sin capacidad de abrirlo es como copiar ruido blanco.

» autor: oxelo

#8 Nuevo bug encontrado en openSSL permite modificar y descifrar tráfico cifrado [EN]

Zamarro — Fri, 06 Jun 2014 04:48:25 +0000

¿Nadie recuerda una vieja norma que no se ha roto en cientos o miles de años? Si se puede ver, se puede copiar.
Nada es perfecto, todo lo es susceptible de tener errores.

» autor: Zamarro

#7 Nuevo bug encontrado en openSSL permite modificar y descifrar tráfico cifrado [EN]

Magankie — Fri, 06 Jun 2014 04:47:12 +0000

#1 Ha estado HA punto de acertar.

Coñas a parte, me da que hay más ingenieros intentando descubrir agujeros en openssl que desarrollándolo. Y es que, queramos o no, es más importante el espionaje que el desarrollo...

» autor: Magankie

#6 Nuevo bug encontrado en openSSL permite modificar y descifrar tráfico cifrado [EN]

Patxi_ — Fri, 06 Jun 2014 00:50:06 +0000

No es un bug, es una feature.

» autor: Patxi_

#5 Nuevo bug encontrado en openSSL permite modificar y descifrar tráfico cifrado [EN]

--404469-- — Thu, 05 Jun 2014 21:45:14 +0000

#2 Ups!! vaya HA los smartphone + comentar rápidamente en meneame. Perdón lo he visto y me duele los ojos!!

» autor: --404469--

#4 Nuevo bug encontrado en openSSL permite modificar y descifrar tráfico cifrado [EN]

jorchube — Thu, 05 Jun 2014 20:59:59 +0000

#3 Aunque coincido contigo, con la de cosas que están apareciendo últimamente en bibliotecas como openssl o gnutls (que tampoco se libra), si cualquier organización se hubiera decidido a dedicarle recursos seriamente a investigarlas desde hace tiempo, si que es posible que hubiera conseguido hacerse con una buena colección de agujeritos por donde asomar el ojo...

» autor: jorchube

#3 Nuevo bug encontrado en openSSL permite modificar y descifrar tráfico cifrado [EN]

KaborlllLLLONE — Thu, 05 Jun 2014 20:33:28 +0000

#1 La NSA, por mucho que nos quieran hacer creer, no es dios

» autor: KaborlllLLLONE

#2 Nuevo bug encontrado en openSSL permite modificar y descifrar tráfico cifrado [EN]

The_Hoff — Thu, 05 Jun 2014 20:21:35 +0000

#1 desgraciadamente parece que Ha estado más tiempo sin detectar que tu "Ha"

» autor: The_Hoff

#1 Nuevo bug encontrado en openSSL permite modificar y descifrar tráfico cifrado [EN]

--404469-- — Thu, 05 Jun 2014 20:04:32 +0000

Ha saber si estaba detectado de hace mucho tiempo y por interés por ejemplo NSA

» autor: --404469--