Aún con el llamado "Heartbleed" reciente, un investigador ha descubierto un nuevo bug que permite a un atacante descifrar y/o modificar tráfico web, e-mail y VPN cifrado con el protocolo TLS, el método más usado para el cifrado de tráfico entre usuarios y servidores.
#4:
#3 Aunque coincido contigo, con la de cosas que están apareciendo últimamente en bibliotecas como openssl o gnutls (que tampoco se libra), si cualquier organización se hubiera decidido a dedicarle recursos seriamente a investigarlas desde hace tiempo, si que es posible que hubiera conseguido hacerse con una buena colección de agujeritos por donde asomar el ojo...
#2:
#1 desgraciadamente parece que Ha estado más tiempo sin detectar que tu "Ha"
#16:
#10 Es una limpieza en serio del código, seguramente los errores de base que no encuentren durante el proceso serán compartidos, pero habrán muchos errores en partes de código inútiles que se quitarán de encima.
Al final toda esta estrategia de desprestigiar openSSL y GnuTLS y otras terminará convirtiéndolas en librerías mucho más seguras. Ahora mismo están siendo auditadas (sobre todo la primera) por los famosos miles de ojos, seguirán saliendo fallos en próximas fechas, pero el lado bueno es que todos se irán tapando y en el fondo esto será bueno para todos.
Si por desgracia os pasa como a mi que tengo que usar certificados de verisign o similares en los servidores, el bug de openssl o de cualquier otra libreria que lo sustituya le es indiferente a la NSA porque tiene las root keys.
Otra cosa seria ya a nivel de certificados autofirmados donde la nsa y cualquier otro que pudiera hacerte un mtm podria aprovechar la vulnerabilidad.
La cuestion es que se pueden desactivar los tipos de cifrafo como tls y sustituirlos por otros de complejidad similar a nivel de configuración de servidor. Si no me equivoco la instruccion es ciphersuite.
Hoy me va a tocar repasar configuraciones de apache aunque creo que esto ya lo tengo acotado por otro bug que hubo de tls.
#12 La root key de Verisign te permite generar certificados falsos para un dominio y hacer un ataque Man in the Middle (MiM), pero no permite descifrar las comunicaciones realizadas con el certificado verdadero.
La NSA no lo usa porque es fácilmente detectable... cualquier servicio de notaría SSL te avisará que el certificado ha cambiado inexplicablemente e incluso algunos navegadores ya tienen funcionalidad para verificarlo. El gobierno francés ya lo intentó y consiguió esto:
Ahora de repente os interesa vuestra ciberseguridad así como quien no quiere la cosa eso sí, seguís usando software privativo. Propongo añadir un icono en menéame de Luser
#18 tu te sientes muy seguro con su software libre ¿verdad?. Seguro que no envías correos, ni mandas información a través de Internet, ni usas servicios de otras empresas. A día de hoy no tiene sentido tener una puerta trasera en los SO, con pincharte Internet ya sabrá todo lo que tienen que saber. Contra eso solo puedes cifrar tus comunicaciones pero claro, el otro lado tiene que saber descifrarlas.
Lo de heartbeat era muy grave, especialmente teniendo en cuenta que debería ser algo básico que debería estar más que controlado. Por otra parte, tampoco hay que pensar que el que se encuentren fallos sea sinónimo de que la seguridad es mala, o de que es un sistema peor que otro en el que no hay encontrado nada.
Quizás estoy siendo muy filosófico, pero esto de forma aislada no debería ser preocupante, sí son muy preocupantes cosas como que una herramienta pública de uso tan extendido no sea auditada o alguien introduzca estos fallos (saboteando) en el código.
En realidad en total son siete de las cuales esta es la más grave:
La primera que es esta, permite interceptar tráfico cifrado y descifrarlo porque fuerza al cliente a usar claves débiles.
LA segunda permite ejecución remota de código en clientes y servidores.
Las restantes permiten ataques de denegación de servicio.
Y hace poco salió en GnuTLS "una vulnerabilidad de desbordamiento de búfer en la librería GnuTLS que podría permitir a un atacante remoto tomar el control de los sistemas afectados. "
#10 Probablemente no lo sea. Los medios de la Core Infrastructure Initiative se están centrando en OpenSSL, así que posiblemente sea esta la que acabe sobreviviendo.
#10 Es una limpieza en serio del código, seguramente los errores de base que no encuentren durante el proceso serán compartidos, pero habrán muchos errores en partes de código inútiles que se quitarán de encima.
Al final toda esta estrategia de desprestigiar openSSL y GnuTLS y otras terminará convirtiéndolas en librerías mucho más seguras. Ahora mismo están siendo auditadas (sobre todo la primera) por los famosos miles de ojos, seguirán saliendo fallos en próximas fechas, pero el lado bueno es que todos se irán tapando y en el fondo esto será bueno para todos.
¿Nadie recuerda una vieja norma que no se ha roto en cientos o miles de años? Si se puede ver, se puede copiar.
Nada es perfecto, todo lo es susceptible de tener errores.
#2#7 Que no os despiste, ese HA tan evidente le ha delatado. Es un agente de la NSA que pretende redirigir los comentarios de meneame a una lucha ortográfica.
#3 Aunque coincido contigo, con la de cosas que están apareciendo últimamente en bibliotecas como openssl o gnutls (que tampoco se libra), si cualquier organización se hubiera decidido a dedicarle recursos seriamente a investigarlas desde hace tiempo, si que es posible que hubiera conseguido hacerse con una buena colección de agujeritos por donde asomar el ojo...
Coñas a parte, me da que hay más ingenieros intentando descubrir agujeros en openssl que desarrollándolo. Y es que, queramos o no, es más importante el espionaje que el desarrollo...
Comentarios
No es un bug, es una feature.
Si por desgracia os pasa como a mi que tengo que usar certificados de verisign o similares en los servidores, el bug de openssl o de cualquier otra libreria que lo sustituya le es indiferente a la NSA porque tiene las root keys.
Otra cosa seria ya a nivel de certificados autofirmados donde la nsa y cualquier otro que pudiera hacerte un mtm podria aprovechar la vulnerabilidad.
La cuestion es que se pueden desactivar los tipos de cifrafo como tls y sustituirlos por otros de complejidad similar a nivel de configuración de servidor. Si no me equivoco la instruccion es ciphersuite.
Hoy me va a tocar repasar configuraciones de apache aunque creo que esto ya lo tengo acotado por otro bug que hubo de tls.
#12 La root key de Verisign te permite generar certificados falsos para un dominio y hacer un ataque Man in the Middle (MiM), pero no permite descifrar las comunicaciones realizadas con el certificado verdadero.
La NSA no lo usa porque es fácilmente detectable... cualquier servicio de notaría SSL te avisará que el certificado ha cambiado inexplicablemente e incluso algunos navegadores ya tienen funcionalidad para verificarlo. El gobierno francés ya lo intentó y consiguió esto:
Google descubre que el gobierno francés utilizaba certificados falsos para espiar a los usuarios
Google descubre que el gobierno francés utilizaba ...
redeszone.netLa NSA prefiere formas más sutiles, como por ejemplo, este bug.
Ahora de repente os interesa vuestra ciberseguridad así como quien no quiere la cosa eso sí, seguís usando software privativo. Propongo añadir un icono en menéame de Luser
#18 tu te sientes muy seguro con su software libre ¿verdad?. Seguro que no envías correos, ni mandas información a través de Internet, ni usas servicios de otras empresas. A día de hoy no tiene sentido tener una puerta trasera en los SO, con pincharte Internet ya sabrá todo lo que tienen que saber. Contra eso solo puedes cifrar tus comunicaciones pero claro, el otro lado tiene que saber descifrarlas.
#23 la ignorancia es atrevida
http://www.thewhir.com/web-hosting-news/japanese-researcher-discovers-16-year-old-openssl-bug-enables-man-middle-attacks
Qué épico todo... No me cuadra mucho las versiones afectadas que dicen en ars technica.
¿Agujeros de seguridad o puertas traseras hechas a la medida para la NSA?
(Reading database ... 355448 files and directories currently installed.)Preparing to replace libssl1.0.0 1.0.1-4ubuntu5.13 (using .../libssl1.0.0_1.0.1-4ubuntu5.14_i386.deb) ...Unpacking replacement libssl1.0.0 ...Setting up libssl1.0.0 (1.0.1-4ubuntu5.14) ...Processing triggers for libc-bin ...ldconfig deferred processing now taking place(Reading database ... 355448 files and directories currently installed.)Preparing to replace openssl 1.0.1-4ubuntu5.13 (using .../openssl_1.0.1-4ubuntu5.14_i386.deb) ...Unpacking replacement openssl ...Processing triggers for man-db ...aquetes ...Preconfigurando paquetes ...Preconfigurando paquetes ...(Reading database ... 355448 files and directories currently installed.)Preparing to replace libssl1.0.0 1.0.1-4ubuntu5.13 (using .../libssl1.0.0_1.0.1-4ubuntu5.14_i386.deb) ...Unpacking replacement libssl1.0.0 ...Setting up libssl1.0.0 (1.0.1-4ubuntu5.14) ...Processing triggers for libc-bin ...ldconfig deferred processing now taking place(Reading database ... 355448 files and directories currently installed.)Preparing to replace openssl 1.0.1-4ubuntu5.13 (using .../openssl_1.0.1-4ubuntu5.14_i386.deb) ...Unpacking replacement openssl ...Processing triggers for man-db ...
Lo de heartbeat era muy grave, especialmente teniendo en cuenta que debería ser algo básico que debería estar más que controlado. Por otra parte, tampoco hay que pensar que el que se encuentren fallos sea sinónimo de que la seguridad es mala, o de que es un sistema peor que otro en el que no hay encontrado nada.
Quizás estoy siendo muy filosófico, pero esto de forma aislada no debería ser preocupante, sí son muy preocupantes cosas como que una herramienta pública de uso tan extendido no sea auditada o alguien introduzca estos fallos (saboteando) en el código.
#19 aunque también podría haber puesto ¿AY piedad en meneame?
En realidad en total son siete de las cuales esta es la más grave:
La primera que es esta, permite interceptar tráfico cifrado y descifrarlo porque fuerza al cliente a usar claves débiles.
LA segunda permite ejecución remota de código en clientes y servidores.
Las restantes permiten ataques de denegación de servicio.
http://unaaldia.hispasec.com/2014/06/openssl-corrige-nuevas-vulnerabilidades.html
Y hace poco salió en GnuTLS "una vulnerabilidad de desbordamiento de búfer en la librería GnuTLS que podría permitir a un atacante remoto tomar el control de los sistemas afectados. "
http://unaaldia.hispasec.com/2014/06/vulnerabilidad-de-ejecucion-de-codigo.html
Al paso que vamos, OpenSSL va a ser el equivalente a estos video porteros-cerraduras-electrónicas: Hacking de porteros y vídeo-porteros automáticos
Hacking de porteros y vídeo-porteros automáticos
securitybydefault.comA ver si LibreSSL es la alternativa real
#10 Probablemente no lo sea. Los medios de la Core Infrastructure Initiative se están centrando en OpenSSL, así que posiblemente sea esta la que acabe sobreviviendo.
#10 Es una limpieza en serio del código, seguramente los errores de base que no encuentren durante el proceso serán compartidos, pero habrán muchos errores en partes de código inútiles que se quitarán de encima.
Al final toda esta estrategia de desprestigiar openSSL y GnuTLS y otras terminará convirtiéndolas en librerías mucho más seguras. Ahora mismo están siendo auditadas (sobre todo la primera) por los famosos miles de ojos, seguirán saliendo fallos en próximas fechas, pero el lado bueno es que todos se irán tapando y en el fondo esto será bueno para todos.
¿Nadie recuerda una vieja norma que no se ha roto en cientos o miles de años? Si se puede ver, se puede copiar.
Nada es perfecto, todo lo es susceptible de tener errores.
#8 Copiar no es lo mismo que leer, copiar un archivo cifrado sin capacidad de abrirlo es como copiar ruido blanco.
Ha saber si estaba detectado de hace mucho tiempo y por interés por ejemplo NSA
#1 desgraciadamente parece que Ha estado más tiempo sin detectar que tu "Ha"
#2 Ups!! vaya HA los smartphone + comentar rápidamente en meneame. Perdón lo he visto y me duele los ojos!!
#2 #7 Que no os despiste, ese HA tan evidente le ha delatado. Es un agente de la NSA que pretende redirigir los comentarios de meneame a una lucha ortográfica.
#1 La NSA, por mucho que nos quieran hacer creer, no es dios
#3 Aunque coincido contigo, con la de cosas que están apareciendo últimamente en bibliotecas como openssl o gnutls (que tampoco se libra), si cualquier organización se hubiera decidido a dedicarle recursos seriamente a investigarlas desde hace tiempo, si que es posible que hubiera conseguido hacerse con una buena colección de agujeritos por donde asomar el ojo...
#1 Ha estado HA punto de acertar.
Coñas a parte, me da que hay más ingenieros intentando descubrir agujeros en openssl que desarrollándolo. Y es que, queramos o no, es más importante el espionaje que el desarrollo...
#7 ¿Hay piedad en meneame? NO SENSEI! la piedad es para los débiles.
jajaja.
#1 Hamigo... No se te escapa ni huna jeje