374 meneos
2939 clics
Nuevo bug encontrado en openSSL permite modificar y descifrar tráfico cifrado [EN]
Aún con el llamado "Heartbleed" reciente, un investigador ha descubierto un nuevo bug que permite a un atacante descifrar y/o modificar tráfico web, e-mail y VPN cifrado con el protocolo TLS, el método más usado para el cifrado de tráfico entre usuarios y servidores.
|
comentarios cerrados
Coñas a parte, me da que hay más ingenieros intentando descubrir agujeros en openssl que desarrollándolo. Y es que, queramos o no, es más importante el espionaje que el desarrollo...
Nada es perfecto, todo lo es susceptible de tener errores.
Otra cosa seria ya a nivel de certificados autofirmados donde la nsa y cualquier otro que pudiera hacerte un mtm podria aprovechar la vulnerabilidad.
La cuestion es que se pueden desactivar los tipos de cifrafo como tls y sustituirlos por otros de complejidad similar a nivel de configuración de servidor. Si no me equivoco la instruccion es ciphersuite.
Hoy me va a tocar repasar configuraciones de apache aunque creo que esto ya lo tengo acotado por otro bug que hubo de tls.
La NSA no lo usa porque es fácilmente detectable... cualquier servicio de notaría SSL te avisará que el certificado ha cambiado inexplicablemente e incluso algunos navegadores ya tienen funcionalidad para verificarlo. El gobierno francés ya lo intentó y consiguió esto:
www.meneame.net/story/google-descubre-gobierno-frances-utilizaba-certi
La NSA prefiere formas más sutiles, como por ejemplo, este bug.
Al final toda esta estrategia de desprestigiar openSSL y GnuTLS y otras terminará convirtiéndolas en librerías mucho más seguras. Ahora mismo están siendo auditadas (sobre todo la primera) por los famosos miles de ojos, seguirán saliendo fallos en próximas fechas, pero el lado bueno es que todos se irán tapando y en el fondo esto será bueno para todos.
Qué épico todo... No me cuadra mucho las versiones afectadas que dicen en ars technica.
jajaja.
La primera que es esta, permite interceptar tráfico cifrado y descifrarlo porque fuerza al cliente a usar claves débiles.
LA segunda permite ejecución remota de código en clientes y servidores.
Las restantes permiten ataques de denegación de servicio.
unaaldia.hispasec.com/2014/06/openssl-corrige-nuevas-vulnerabilidades.
Y hace poco salió en GnuTLS "una vulnerabilidad de desbordamiento de búfer en la librería GnuTLS que podría permitir a un atacante remoto tomar el control de los sistemas afectados. "
unaaldia.hispasec.com/2014/06/vulnerabilidad-de-ejecucion-de-codigo.ht
Quizás estoy siendo muy filosófico, pero esto de forma aislada no debería ser preocupante, sí son muy preocupantes cosas como que una herramienta pública de uso tan extendido no sea auditada o alguien introduzca estos fallos (saboteando) en el código.