Logran crackear el código de seguridad SSL : Facebook, Gmail, Amazon... todos al descubierto

Archivado
¿Tienes correo electrónico de Gmail?

¿Cuenta en Facebook? ¿compras en Amazon? Todos estos sitios y muchos más emplean un código de seguridad denominado SSL para encriptar los datos que otorgan seguridad a las cuentas de sus usuarios. Un código que se creía inviolable hasta que ha sido recientemente crackeado provocando el consiguiente riesgo en la invulnerabilidad de la gran cantidad de webs que utilizan dicho código. Y aún hay más.

Thai Duong y Juliano Rizzo son los responsables de haber vencido las resistencias del código SSL (Secure Socket Layer, capa de conexiones seguras), demostrando en primer lugar cómo podían superar la seguridad de PayPal.

De este modo el secreto de los datos que intercambiamos en Internet los usuarios con los proveedores que nos facilita correo electrónico, acceso a redes sociales o transacciones comerciales queda en entredicho. Al parecer el problema tiene que ver con la nueva generación de SSL, denominada TLS 1.0 (Transport Layer Security) y que tendría una vulnerabilidad que permite este acceso no autorizado a los datos protegidos.

El problema se complica porque TLS 1.1 y 1.2 no son compatibles con ningún navegador actualmente y los sitios web no quieren actualizar desde 1.0 para no perder a sus visitantes. Duong y Rizzo han logrado colarse por esa brecha merced a un código que han bautizado como BEAST (bestia), acrónimo de Browser Exploit Against SSL/TLS. Su código al principio era capaz de superar la seguridad HTTPS en una media hora para cookies de autenticación como los que emplea PayPal, aunque actualmente han logrado reducir ese tiempo a 10 minutos

http://www-es.appy-geek.com/Web/Article ... id=1226358

Artículo original en inglés: http://www.theregister.co.uk/2011/09/19 ... aypal_ssl/
MIERDA!, estos maldixxs NERDS...
Que dios y todos los santos nos cojan confesados!!!!
Las noticias que vienen de The Register hay que tomarlas con cautela... ataques al SSL se han publicado unos cuantos ya, pero todos se basan en una serie de condiciones que dificilmente pueden darse para el usuario normal (en este caso concreto, según la noticia, hace falta "esnifar" la conexión además de colar un troyano a través del navegador)
crack codigo de seguridad? facebook? anonymouse? jajaja naaah.... O SI! XD
Estos follan poco,no??
veo cada vez mas cerca el ataque de anonym hacia FACEBBOK!! ratataaaa
jiXo escribió:Las noticias que vienen de The Register hay que tomarlas con cautela... ataques al SSL se han publicado unos cuantos ya, pero todos se basan en una serie de condiciones que dificilmente pueden darse para el usuario normal (en este caso concreto, según la noticia, hace falta "esnifar" la conexión además de colar un troyano a través del navegador)


cierto, de todas es facil tapar ese agujero.
Ahora mismo no hay ninguna página segura o esto es una prueba de concepto ?
anderpr escribió:Ahora mismo no hay ninguna página segura o esto es una prueba de concepto ?


jiXo escribió:Las noticias que vienen de The Register hay que tomarlas con cautela... ataques al SSL se han publicado unos cuantos ya, pero todos se basan en una serie de condiciones que dificilmente pueden darse para el usuario normal (en este caso concreto, según la noticia, hace falta "esnifar" la conexión además de colar un troyano a través del navegador)
Chechuty escribió:
anderpr escribió:Ahora mismo no hay ninguna página segura o esto es una prueba de concepto ?


jiXo escribió:Las noticias que vienen de The Register hay que tomarlas con cautela... ataques al SSL se han publicado unos cuantos ya, pero todos se basan en una serie de condiciones que dificilmente pueden darse para el usuario normal (en este caso concreto, según la noticia, hace falta "esnifar" la conexión además de colar un troyano a través del navegador)


Ya bueno, hay pocas respuestas y me las he leído todas, pero preguntaba por si acaso ya hubiera saltado alguna alarma por ahí.
Esta semana en pastebin se han colocado listados sacados de páginas de alta seguridad y quizás haya relación con esto.
Cada dia que pasa estamos mas vulnerables, los que somos usuarios curritos en la red.
Vaya mierda que esta todo

Un saludo
Joder facebook, gmail y amazon, quizás las 3 unicas webs que visito a diario. Me vigilan ¬_¬
Me parto la caja con el titular en EOL y algunos comentarios vertidos al post.

La noticia es Violacion de seguridad SSL, cuidado con vuestro dinero en inet. Entiendase PAYPAL o el banco con que conectais online para operar/consultar vuestras cuentas corrientes.

Lo siento si a alguno le escuece, pero es la pura realidad.
jiXo escribió:Las noticias que vienen de The Register hay que tomarlas con cautela... ataques al SSL se han publicado unos cuantos ya, pero todos se basan en una serie de condiciones que dificilmente pueden darse para el usuario normal (en este caso concreto, según la noticia, hace falta "esnifar" la conexión además de colar un troyano a través del navegador)


Hasta que no he leido a jiXo ya estaba pensando en darme de baja en todas las webs que visito a menudo
jiXo escribió:Las noticias que vienen de The Register hay que tomarlas con cautela... ataques al SSL se han publicado unos cuantos ya, pero todos se basan en una serie de condiciones que dificilmente pueden darse para el usuario normal (en este caso concreto, según la noticia, hace falta "esnifar" la conexión además de colar un troyano a través del navegador)

A andar con mas sentido comun instalando cosas entonces
En la noticia se comenta que el susodicho troyano puede ser sencillamente JavaScript, algo bastante usado en apps web. Y lo de que haya que colocar un sniffer...es que es obvio, pero no sé qué dificultad le encontrais a colar un sniffer...

Si preferís pensar que la noticia no es grave, adelante, pero que se carguen lo único que nos protege de los ataques Man in the Middle, a mi me lo parece.
(mensaje borrado)
Esto me recuerda una frase que aprendi a los 14 años en foros de Haking de un usuario del cual no recuerdo su nick

NADA EN ESTA VIDA ES SEGURO SI QUIERES PROTEGER ALGO SIMPLEMENTE NO LO INVENTES

Yo por mi parte me alegro porque cada vez que pasa algo asi les cierras la boca a los Pultocratas de las grandes compañias y los haces templar.
Yo no me he hecho cuenta en ninguna red social y todos mis amigos, conocidos y familiares tienen una.
Hace tiempo que con el Shadow Security Scanner detecte vulnerabilidades XSS en Tuenti y si ha eso le sumas que en muchas ocasiones las paginas aunque esan de creadores Españoles estan en servidores Estado Unidenses o de otro pais y por lo tanto sujetas a su legislacion que en el caso de EEUU no protege tus datos ya que permite que terceros hacedan a la información.

En mi caso solo me afectaria a gmail y youtube por tenerlas vinculadas y puede que a blogger pero el correo no lo uso mucho y la cuenta de youtube puedo desvinculaela y la de blogger solo la uso para comentarle en el blog a un amigo asi que estoy cubierto y si ha eso le añades que los datos de estas cuentas son falsos y que en el caso de gmail me registre y accedo mediante proxy [sonrisa]
Aunque no se si youtube tendra otra CRIPTOGRAFIA en el peor de los casos me quedaria sin youtube y si todas mis contraseñas son distintas en cada sito web.

Al menos me cubro bien las espaldas aunque no sea totalmente invulnerable [+risas]
Saludos
18 respuestas
Archivado
Volver a El Buffer