martes, 20 de septiembre de 2011

Logran crackear la seguridad SSL

Logran crackear la seguridad SSL

¿Tienes una cuenta de correo electrónico con Gmail?


¿una Facebook? ¿compras por Amazon? Todos estos sitios y muchos más emplean un código de seguridad denominado SSL para encriptar los datos que otorgan seguridad a las cuentas de sus usuarios. Un código que se creía inviolable hasta que ha sido recientemente crackeado provocando el consiguiente riesgo en la invulnerabilidad de la gran cantidad de webs que utilizan dicho código.

Thai Duong y Juliano Rizzo son los responsables de haber vencido las resistencias del código SSL (Secure Socket Layer, capa de conexiones seguras), demostrando en primer lugar cómo podían superar la seguridad de PayPal.

De este modo el secreto de los datos que intercambiamos en Internet los usuarios con los proveedores que nos facilita correo electrónico, acceso a redes sociales o transacciones comerciales queda en entredicho. Al parecer el problema tiene que ver con la nueva generación de SSL, denominada TLS 1.0 (Transport Layer Security) y que tendría una vulnerabilidad que permite este acceso no autorizado a los datos protegidos.

El problema se complica porque TLS 1.1 y 1.2 no son compatibles con ningún navegador actualmente y los sitios web no quieren actualizar desde 1.0 para no perder a sus visitantes. Duong y Rizzo han logrado colarse por esa brecha merced a un código que han bautizado como BEAST (bestia), acrónimo de Browser Exploit Against SSL/TLS. Su código al principio era capaz de superar la seguridad HTTPS en una media hora para cookies de autenticación como los que emplea PayPal, aunque actualmente han logrado reducir ese tiempo a 10 minutos.

4 comentarios:

  1. Habrá que esperar la demostración en la conferencia Ekoparty de Buenos Aires para comprobarlo. Comentan que lo consiguen por medio de un par de líneas javascript que permiten descifrar las cookies encriptadas.

    ResponderEliminar
  2. Gracias @certificados ssl, igual que yo estamos a la espera para saber cual es el bug y por supuesto cuales seran las medidas para solucionarlo.

    ResponderEliminar
  3. saludos @agentemello007, parece que se desató la fiebre "ssl attack" a partir del asunto con DiGinotar y Comodo, en ocasiones pienso que se trata de una estrategia para migrar al TLS 1.1 y 1.2

    ResponderEliminar
  4. es posible, aunque no creo que todos vayan a migrar de golpe a TLS 1.1 y 1.2, lo mas probable es que entremos en una etapa de adaptación lenta como sucede con las nuevas tecnologias, quiza un ejemplo de esto es el IPv6 que ahorita es el BOOM por el agotamiento de IPv4, pero IPv6 Existe desde hace varios años

    Saludos y Gracias por comentar

    ResponderEliminar

Nuevo Sitio

Este sitio ya no se actualizara mas, nos mudamos a IpArea.NET




Articulos Relacionados