Detectan bug en SSL que permite bajar niveles de seguridad de datos

Iniciado por wolfbcn, 20 Mayo 2015, 19:09 PM

0 Miembros y 1 Visitante están viendo este tema.

wolfbcn

Después de que Heartbleed apareció en nuestras vidas, parece que el descubrimiento de bugs en Internet se volvió algo completamente normal. En lo que va de año ya son varias las fallas de seguridad que se han reportado, y si bien éstas han tenido una solución relativamente rápida, siguen apareciendo nuevas con el paso de los días. Esta vez es el turno de Logjam, un error en el algoritmo Diffie-Hellman, que permite bajar el nivel de cifrado de los datos a 512 bit, número suficiente como para poder extraerlos y traducirlos (sobre todo si trabajas en la NSA).

El protocolo permite que símiles como HTTPS, SSH, IPsec y SMTPS, puedan establecer una conexión segura por medio de una llave común. Es dicha clave la que sufre el cambio en su nivel de seguridad, permitiendo a los atacantes robar datos a distancia, incluso cuando los niveles de cifrado sean altos.

Según reporta The Next Web, la falla fue descubierta por diversas organizaciones y universidades, las cuales desarrollaron el sitio WeakDH.org, en donde explican de manera bastante didáctica y con mayor detalle de qué trata el bug, además de qué hacer al respecto. Se recomienda, claramente, actualizar los navegadores apenas los desarrolladores publiquen una nueva versión del mismo -cosa que ya está ocurriendo, por ejemplo, en Google-, no obstante el desperfecto continúa activo al día de hoy.

En el sitio web también puedes revisar si es que tu navegador es o no vulnerable ante este error de seguridad, ya que si bien afecta a gran parte de la comunidad de Internet, esto no quiere decir que todos lo estén. Hasta el momento, y al igual que en los reportes que anteriormente te hemos comentado, no se registran ataques gracias a este defecto en particular, por lo que el llamado es a la calma y a no caer en la tan común paranoia digital.

https://www.fayerwayer.com/2015/05/detectan-bug-en-ssl-que-permite-bajar-niveles-de-seguridad-de-datos/
La mayoria pedimos consejo cuando sabemos la respuesta, pero queremos que nos den otra.

kub0x

Os recomiendo la lectura oficial de la documentación del bug -> https://weakdh.org/imperfect-forward-secrecy.pdf

Ahí se detalla de forma más concreta la matemática que hay detrás. Si alguien quiere discutir sobre esto que habra un post en el sub-foro de Criptografía y debatiremos de forma amplia.

Por ahora somos vulnerables. La matemática la podemos discutir en el post propuesto. Así que tranquilos que en unas horas lo parchean. Curiosamente IE es inmune.

Saludos!
Viejos siempre viejos,
Ellos tienen el poder,
Y la juventud,
¡En el ataúd! Criaturas Al poder.

Visita mi perfil en ResearchGate


kub0x

Mozilla todavía no ha lanzado una actualización para Firefox con el parche, aun así han publicado un addon que soluciona el problema hasta que esté disponible la nueva versión del navegador.

Para someteros al test de prueba de concepto visitad -> https://www.weakdh.org . Los users de Firefox no pasaréis el test.

Instalad el complemento de Mozilla -> https://addons.mozilla.org/en-US/firefox/addon/disable-dhe/

Y volved a entrar a https://www.weakdh.org . Esta vez deberíais de pasar el test.

Este addon simplemente elimina la posibilidad de aceptar un grupo Diffie-Hellman donde p sea de 512 bit. Han aumentado el rango a 1024, pero se recomienda utilizar 2048 bit.

Saludos.
Viejos siempre viejos,
Ellos tienen el poder,
Y la juventud,
¡En el ataúd! Criaturas Al poder.

Visita mi perfil en ResearchGate


Gh057

muchísimas gracias kubox, estuve estos días algo colgado; recién voy a leer la noticia y la información que haz brindado luego. Un cordial saludo.
4 d0nd3 1r4 3l gh057? l4 r3d 3s 74n v4s74 3 1nf1n1t4...