Logran crackear el código de seguridad SSL
¿Tienes correo electrónico de Gmail? ¿Cuenta en Facebook? ¿Compras en Amazon?
Todos estos sitios y muchos más emplean un código de seguridad denominado SSL para cifrar los datos que otorgan seguridad a las cuentas de sus usuarios. Un código que se creía inviolable hasta que ha sido recientemente crackeado provocando el consiguiente riesgo en la invulnerabilidad de la gran cantidad de webs que utilizan dicho código. Y aún hay más.
Thai Duong y Juliano Rizzo son los responsables de haber vencido las resistencias del código SSL (Secure Socket Layer, capa de conexiones seguras), demostrando en primer lugar cómo podían superar la seguridad de PayPal.
De este modo el secreto de los datos que intercambiamos en Internet los usuarios con los proveedores que nos facilita correo electrónico, acceso a redes sociales o transacciones comerciales queda en entredicho. Al parecer el problema tiene que ver con la nueva generación de SSL, denominada TLS 1.0 (Transport Layer Security) y que tendría una vulnerabilidad que permite este acceso no autorizado a los datos protegidos.
El problema se complica porque TLS 1.1 y 1.2 no son compatibles con ningún navegador actualmente y los sitios web no quieren actualizar desde 1.0 para no perder a sus visitantes. Duong y Rizzo han logrado colarse por esa brecha merced a un código que han bautizado como BEAST (bestia), acrónimo de Browser Exploit Against SSL/TLS. Su código al principio era capaz de superar la seguridad HTTPS en una media hora para cookies de autenticación como los que emplea PayPal, aunque actualmente han logrado reducir ese tiempo a 10 minutos. Los autores presentarán el ataque y la herramienta en Ekoparty 2011.
El tema central es: TLS 1.0 se ha dicho que era vulnerable por mucho tiempo, pero recién ahora lo prueban de forma práctica. Ya existen TLS 1.1 y TLS 1.2 que no adolecen de esos problemas. De modo que la tecnología para solucionar el problema ya existe. Pero hay que implementarla. Ver más en: http://en.wikipedia.org/wiki/Transport_Layer_Security
Revisando uno encuentra en las opciones avanzadas de Internet Explorer 8/9 que soporta TLS 1.2 /1.1 /1.0. Al menos en Win2008R2 y Win 7.
Safari al igual que IE depende el soporte de TLS del SO. No está claro que versión de TLS soporta Safari. Opera también lo soporta.
Hay una discusión sobre este tema alrededor de la pregunta sobre si Chrome soporta o no TLS 1.1 / 1.2 (no lo soporta).
http://www.google.cf/support/forum/p/Chrome/thread?tid=0539619c98f85cbb&hl=en
Para FireFox aun en la ultima version 6.0.2 no lo soporta. Se pueden ver varios pedidos al respecto:
Need support for TLS 1.2.
http://support.mozilla.com/es/questions/710646?s=tls+1.1&r=6&as=s
http://support.mozilla.com/es/questions/781028?s=tls+1.1&r=4&as=s
Y aqui en el comentario #25 #26 y #27 se reavivó el tema a la luz de la noticia:
https://bugzilla.mozilla.org/show_bug.cgi?id=480514
Parece que habrá que esperar para conocer los detalles, las (posibles?) mitigaciones y las soluciones que deberán surgir. El tema pasa no por solucionar el problema en TLS 1.0, sino que los sitios web y navegadores deben abandonar el TLS 1.0 vulnerable y migrar a 1.1 o 1.2.
Fuente: Gizmodo
Todos estos sitios y muchos más emplean un código de seguridad denominado SSL para cifrar los datos que otorgan seguridad a las cuentas de sus usuarios. Un código que se creía inviolable hasta que ha sido recientemente crackeado provocando el consiguiente riesgo en la invulnerabilidad de la gran cantidad de webs que utilizan dicho código. Y aún hay más.
Thai Duong y Juliano Rizzo son los responsables de haber vencido las resistencias del código SSL (Secure Socket Layer, capa de conexiones seguras), demostrando en primer lugar cómo podían superar la seguridad de PayPal.
De este modo el secreto de los datos que intercambiamos en Internet los usuarios con los proveedores que nos facilita correo electrónico, acceso a redes sociales o transacciones comerciales queda en entredicho. Al parecer el problema tiene que ver con la nueva generación de SSL, denominada TLS 1.0 (Transport Layer Security) y que tendría una vulnerabilidad que permite este acceso no autorizado a los datos protegidos.
El problema se complica porque TLS 1.1 y 1.2 no son compatibles con ningún navegador actualmente y los sitios web no quieren actualizar desde 1.0 para no perder a sus visitantes. Duong y Rizzo han logrado colarse por esa brecha merced a un código que han bautizado como BEAST (bestia), acrónimo de Browser Exploit Against SSL/TLS. Su código al principio era capaz de superar la seguridad HTTPS en una media hora para cookies de autenticación como los que emplea PayPal, aunque actualmente han logrado reducir ese tiempo a 10 minutos. Los autores presentarán el ataque y la herramienta en Ekoparty 2011.
El tema central es: TLS 1.0 se ha dicho que era vulnerable por mucho tiempo, pero recién ahora lo prueban de forma práctica. Ya existen TLS 1.1 y TLS 1.2 que no adolecen de esos problemas. De modo que la tecnología para solucionar el problema ya existe. Pero hay que implementarla. Ver más en: http://en.wikipedia.org/wiki/Transport_Layer_Security
Revisando uno encuentra en las opciones avanzadas de Internet Explorer 8/9 que soporta TLS 1.2 /1.1 /1.0. Al menos en Win2008R2 y Win 7.
Safari al igual que IE depende el soporte de TLS del SO. No está claro que versión de TLS soporta Safari. Opera también lo soporta.
Hay una discusión sobre este tema alrededor de la pregunta sobre si Chrome soporta o no TLS 1.1 / 1.2 (no lo soporta).
http://www.google.cf/support/forum/p/Chrome/thread?tid=0539619c98f85cbb&hl=en
Para FireFox aun en la ultima version 6.0.2 no lo soporta. Se pueden ver varios pedidos al respecto:
Need support for TLS 1.2.
http://support.mozilla.com/es/questions/710646?s=tls+1.1&r=6&as=s
http://support.mozilla.com/es/questions/781028?s=tls+1.1&r=4&as=s
Y aqui en el comentario #25 #26 y #27 se reavivó el tema a la luz de la noticia:
https://bugzilla.mozilla.org/show_bug.cgi?id=480514
Parece que habrá que esperar para conocer los detalles, las (posibles?) mitigaciones y las soluciones que deberán surgir. El tema pasa no por solucionar el problema en TLS 1.0, sino que los sitios web y navegadores deben abandonar el TLS 1.0 vulnerable y migrar a 1.1 o 1.2.
Fuente: Gizmodo
0 Comments:
Publicar un comentario
Gracias por dejar un comentario en Segu-Info.
Gracias por comentar!