SeguridadWireless, creadores de la distribución Linux WifiWay para auditoría inalámbrica retiran de su web el generador de claves por defecto de redes WPA WLAN_XXXX y JAZZTEL_XXXX ante las presiones ejercidas esta mañana por Telefónica y Jazztel.
|
etiquetas: wifiway , seguridadwireless , wpa , jazztel , telefónica , hacking
Aunque me he dado cuenta de que son los generadores de los que habla en la noticia. Los generadores que me bajé ayer son para wifis de telefonica "WLAN4_XX" y de Ono "ONO4_XX". De todas formas, como tampoco los encuentro en la web, los subo a megaupload.
www.megaupload.com/?d=SMU0I2TM
Además, por honestidad, deberían aportar a la comunidad el código. Seguro que las herramientas que han utilizado para dicha investigación son código libre (apuesto que Linux, Aircrack, etc...) y no han metido a nadie en la cárcel por desarrollarlas.
Un saludo para la gente de SeguridadWireless porque son unos cracks y espero que sigan dando caña .
Que liberen el código y listo..
Lo malo es la segunda parte, que seguramente ni jazztel ni telefónica harán nada por corregir ese "fallo" y volver a dar seguridad a sus clientes....
Definitivamente, en este país, y parte del estranjero, somos unos cagaos. Así no se cambia el mundo...
Personalmente, no me gusta que se haga "negocio" con el opensource. Lo de chupar del bote y luego guardarse todo, esta feo.
La verdad os hará libres..
La han cagado con todo el equipo.
Lo unico que les queda, según mi opinión, es actualizar mediante web o algo parecido, de lo contrario en breve va a aparecer otro generador y otro y otro....
Me los bajé anoche sin saber que lo acababan de liberar y hace un rato me lo he borrado pensando que probablemente no lo utilizaría nunca... u_u
y si mejoran la seguridad si es buena noticia, pero leyendo la noticia huele a "cierro esto y aqui no ha pasado nada...."
Que te bajaste ?
Hasta donde tengo entendido no han liberado el código en ningún momento, únicamente hicieron un formulario web que te permitía descifrar caso por caso.
Aunque me he dado cuenta de que son los generadores de los que habla en la noticia. Los generadores que me bajé ayer son para wifis de telefonica "WLAN4_XX" y de Ono "ONO4_XX". De todas formas, como tampoco los encuentro en la web, los subo a megaupload.
www.megaupload.com/?d=SMU0I2TM
En mi comentario en #18 quería decir que NO son los mismos generadores de los que habla en la noticia. Mil perdones.
Igual les han ofrecido dinero, o algo. Recordad que ésto es España
Para muchos la chapada de la web es un fastidio. Yo sólo espero que con esto mejoren la seguridad.
Si hubiera colgado toda esa información en unos cuantos foros, desde un ciber y mediante una cuenta ad hoc, ahora mismo no habría manera de presionarle y todos nos esataríamos riendo de las compañías respectivas.
Hablo del hecho de ceder a las exigencias de los poderosos, sin ganar nada a cambio..
No creo que vuelvan a caer en el error de la web, y habiéndose descubierto es en parte una temeridad publicar un programita ahora. Quizá una opción sería que dieran pistas de cómo han descubierto el algoritmo, por si otro equipo se anima a replicar su trabajo. Así saldríamos ganando todos: ellos obtienen su justo reconocimiento y la comunidad puede aprender de su trabajo.
1º: han gestionado la situación mal. Deberían haberlo hecho como dice #36.
2º: minimizar el hallazgo como hace #34 es lo que están haciendo los EEUU con respecto al caso WikiLeaks.
Desde luego, pueden ser muy buenos en lo suyo pero la avaricia les ha matado.
Lo primero que debieron hacer es crear un programa (java, php, ...) y ponerlo como torrent en algún lado.
Segundo habría sido dar a conocer eso que se encuentra, a ser posible que esté en ruso o algo así y pista.
Pero no, lo tienen que poner en su servidor y un formulario; nada de poner como se hacía ni nada claro. Menuda mierda de administrador de verdad.
Imagino que por eso los otros tedran base legal para joder a estos, si no; no entiendo como han cedido.
#38
www.megaupload.com/?d=9451VHER
La única razón que veo para eso es poder saber la clave por defecto sin tener que almacenarla, por ejemplo para decírsela al cliente que: la ha perdido + no tiene ni idea de cambiarla.
Si usaran una clave aleatoria esto no funcionaría, con lo que es cuestión de tiempo el que vuelvan a reventar el algoritmo.
Tan fácil como cambiar la clave. Hasta un simple "cacaculopedopis" es mucho más seguro.
Pienso que hay que tener unos mínimos, mínimos conocimientos de la herramienta con la que estás trabajando. A mí me da igual cómo funciona mi coche, hasta cierto punto, porque si no se cambiar una simple rueda, me voy a quedar tirado hasta que vengan a recogerme. Y que no me importen las ruedas no cambia la situación.
Ahora llego a casa y resulta que lo han quitado
Bueno, era para un amigo, es decir, que me lo han contado...
nadie tiene el fichero y manual? pq yo lo pondria en mi web y que me vengan a reclamar...
El protocolo de actuación tras el descubrimiento de una vulnerabilidad suele ser el siguiente:
1- Se avisa a la compañía y si acaso se hace una demostración pública de lo que se ha conseguido pero sin dar detalles.
2- Si la compañía pasa de arreglarlo se publica todo y así se le obliga a que lo solucionen.
Lo que pasa es que han querido hacer dinero con el algorismo, habian hecho una aplicacion para android ya hace tiempo que esta o estaba en el market
#57 Seguro que todos acabaremos millonarios , que ilusa es la gente
Dejad que las cosas sigan su cauce
#9 extranjero!!
Yo si que se de que va el tema , y os aseguro que ni jazztel ni telefónica tienen algo que ver a día de hoy.
Qué coño pasa con Menéame, se ha convertido en una filial de ForoCoches®?
INGENIEROS EN NOMINA
TIMOFONICA/JAZZTEL 0
Linux WifiWay n+1
Como siempre la solución chapar webs.
ono4xx-0.0.2a-win32.zip (720.12 KB) www.multiupload.com/I111WW2YX4
Me parece bien que quiten el programa de la web si Telefónica y Jazztel se van a comprometer a solucionar el tema, pero apostaría a que no va a ser así.
buscon.rae.es/draeI/SrvltGUIBusUsual?TIPO_HTML=2&TIPO_BUS=3&LE
Creo que hoy en día no valen para nada, no?
¡¡¡ Ese compi !!! , tu si que sabes ;), en fin la gente confunde el tocino con la velocidad , pero es mejor no perder el tiempo con estas cosas.
Norma número 1, no entrar en meneame bajo los efectos de los estupefacientes.. si esque..
La política de "full disclosure" en.wikipedia.org/wiki/Full_disclosure en seguridad informática existe por algún motivo, y ha demostrado ser mucho mejor que la de "security through obscurity". No es que estemos aquí cabreados por no poder entrar en la wifi del vecino como muchos insinuan.
Así sería más difícil que las operadoras metan presión para que borren todo el contenido sabiendo que el CERT ya está avisado. Y presionaría a las operadoras a arreglar el fallo antes de que se hiciera público el algoritmo.
PD: capullo.
PD2: #73, lameculos.