[c&p] Interesante historia sobre uno de los más comunes sistemas de seguridad web. El sistema que rompieron es el SSL (Secure Sockets Layer, Protocolo de Capa de Conexión Segura) más comúnmente conocido como «el candado de las páginas web de Internet» (pues se usa como parte del protocolo HTTPS). Lo que usaron fue una capacidad de análisis impresionante, diversas técnicas ingeniosas y la potencia de 200 PlayStation 3 [...] [Eng] Vía MIcrosiervos
Comentarios
Datos cifrados usando MD5, que se sabe roto desde el año 2005 ( http://merlot.usc.edu/csac-f06/papers/Wang05a.pdf ).
Simplemente han puesto en práctica este paper que he indicado, y decir que el 95% de los certificados usados actualmente tienen como mínimo un cifrado de SHA-1 y a nadie en su sano jucio se le ocurriría usar MD5. Decir que se estima que a medio plazo SHA-1 podría ser vulnerable pero a día de hoy se sigue considerando seguro.
#4 cada vez que me cruzo en mi casa con la ps3 la miro con respeto... lo que podría hacer y yo la tengo ahí para jugar al Call of Duty...
Mucho romper el SSl y no consiguen piratear la ps3
Menuda mierda de titular. El MD5 lleva roto desde hace años, no lo han roto ahora. Que lo intenten con un SHA1, que me espero sentado.
PD: ¡Eso pasa por dejar que escriban noticias de informática los intrusos sin título!
Mierda #0 iba a enviarla hace unas horas pero me dije "luego lo hago"
http://www.win.tue.nl/hashclash/rogue-ca/
#12 ¿Quien dice que las hayan comprado? ^^
¿¡De donde sacaron 200 PS3!?
pues a ver si juntan 200 SSH y rompen la proteccion de una ps3 para mi seria mejor noticia
La PS3 es un maquinote, y 200 ni te cuento...
Espartanoooooooooos!!!!
Ah, no, que son 200...XD
Oh no! ahora en vez de capacidad de "Bibliotecas de Londres" se usaran PS3 en el sistema no internacional de ordenadores.
Viva las dimensiones de los campos de futbol y peliculas/segundo
#3 #11, la pregunta es: "¿De dónde sacaron la pasta para comprarlas?"
Nadie leyo la noticia, verdad? Se me olvida donde estoy, sorry
La noticia noe s que se rompio MD5, lo que se logro fue efectivamente, romper el SSL, mas especificamente el PKI (public key infraestructure) por su link mas debil. Con esto se pueden hacer pasar por un CA (certificate authority) y crear certificados SSL que seran aceptados por todos los navegadores, ya que los navegadores confian por default en los CA. Esto afecta solamente a los certificados creados con MD5, de los cuales hay muchos en el mercado, aunque ciertamente no la mayoria.
El asunto es ahora, o revocan los certificados anteriores, o se reemplazan los certificados actuales emitidos con MD5.
Microsoft ya respondio diciendo que no pasa nada, que no hay que alarmarse.
http://www.masio.com.mx/https-y-ssl-ya-no-pueden-ser-considerados-seguros/
#23, eso pasará cuando quiera Sony quiera, en esas conocidas "filtraciones".
Ya esta, Ps2 podia lanzar misiles y PS3 puede acabar con la seguridad mundial... ¡¡Todo es un plan ideado por Sony para destuir el mundo!!
¿de donde sacaron las 200 ps3?
Cualquier dia se cae la Reserva Federal Americana por un ataque de Wiis
La PS3 es la polla, sirve para instalarte Linux, para romper claves de seguridad...
Ah, que es una consola. Lástima.
#8 "Pasa en la vida real, pasa en Meneame"
Bueno, ya que no consiguen vender la ps3 como consola, siempre podrán hacer packs de 200 para hacer el chorras en casa.
#17, sí, sí, pero ya tienen tus datos
Que paciencia hay que tener para montar esa estanteria y poner cada ps3 tan bien colocaditas.
Vale, y yo utilizando MD5 para guardar contraseñas cifradas en las bases de datos. A lo mejor conviene utilizar sha1, total, el comando en PHP es practicamente el mismo. De todos modos si hace falta un clúster de 200 Playstation 3, no creo que el sacar datos de hashes codificados en md5 sea algo al alcance de cualquiera.
Por si alguno quiere apuntarse en la ruptura del SHA1, hay un equipo español, de Kriptópolis.org que encabeza el ranking mundial de busqueda de una colisión SHA1 (http://boinc.iaik.tugraz.at/sha1_coll_search/top_teams.php).
La busqueda la organiza una universidad austríaca. Para los que quieran ceder parte de sus ciclos de máquina libres al proyecto:
http://www.kriptopolis.org/boinc
Si se consigue siempre podrás decir que participaste en la ruptura del SHA1, que eso los viernes por la noche en el bar mola mucho y ligas montón
#34, qué va, si están todas las tiendas y grandes superficies llenas de PS3 sin vender
Tal vez me atasquen de negativos, pero.. no sería este meneo una duplicada de Grave vulnerabilidad en la infrastructura PKI de los navegadores web (Inglés)
Grave vulnerabilidad en la infrastructura PKI de ...
win.tue.nlNo han roto SSL, tan solo han llevado a la práctica algo que teoricamente era posible desde hace unos años. Colisiones en el algoritmo MD5, o dicho de otra manera, que el mismo hash apunte a dos cosas bien distintas. ¿Afecta? Como bien dicen por arriba, desde hace tiempo se esta migrando a SHA-1 y solo afectaría a los certificados firmados con MD5 despues de esta demostración, de la cual los investigadores tampoco han hecho público los detalles.
Lo peor no es que hayan creado un certificado falso que se traga un navegador, lo peor es que la gran mayoría de usuarios no saben para que sirve e ignoran las advertencias del navegador cuando los certificados están caducados. Resultado: Que en vez de entrar en la web www.banco.com entran en www.banc0.com y luego pasa lo que pasa.
¿Cuantas Xbox's son necesarias para realizar esto?
#1 Ya, pero la wii es para toda la familia
Impresionante trabajo, sobre todo porque se podrían haber forrado con la tecnología desarrollada y pagado las ps3 en medio mañana. Está bien saber que los "cientificos locos" usan sus poderes para el bien.
Me pregunto, si hacen esto con la xbox360 empezarán a salir lucecitas rojas por todos lados? es una fissshhta.
dftgyjklñ
´f´e´l´i´c´i´t´a´c´i´o´n´p´a´r´a´e´s´e´s´i´m´i´o´l´l´a´m´a´d´o´r´i´c´a´r´d´o´
g´a´l´l´i´n´a´s´q´u´e´r´i´d´o´m´a´r´i´c´o´n´d´e´m´i´e´r´d´a´c´o´n´t´u´s´b´r´i´
l´l´a´n´t´e´s´m´o´d´i´f´i´c´a´c´i´o´n´e´s´h´a´s´c´o´n´s´e´g´u´i´d´o´q´u´e´m´e´
n´e´a´m´e´s´e´a´u´n´s´i´t´i´o´a´u´n´m´a´s´i´n´j´u´s´t´o´y´c´a´o´t´i´c´o´n´o´s´
a´b´e´s´d´o´n´d´e´t´i´e´n´e´s´l´o´s´h´u´e´v´o´s´y´a´u´n´m´e´n´o´s´l´a´c´a´b´e´
z´a´y´a´e´l´d´e´s´p´i´p´o´r´r´e´h´a´s´i´d´o´b´a´n´e´ar´a´j´o´n´e´a´m´e´.´n´e´t´
s´i´n´t´e´n´t´i´z´a´n´d´o´m´e´t´e´t´e´m´e´n´e´a´m´e´p´o´r´e´l´c´u´l´o´y´d´a´l´e´
v´u´e´l´t´a´s´h´a´s´t´a´q´u´e´t´e´l´o´s´a´q´u´e´s´p´o´r´l´a´b´o´c´a´p´u´t´o´s´u´
d´a´c´a´l´l´e´n´o´d´e´m´i´e´r´d´a´y´a´h´v´u´e´l´v´e´t´e´p´a´r´a´t´u´p´u´t´o´p´a´
i´s´p´o´r´q´u´e´a´q´u´i´n´o´n´e´c´e´s´i´t´a´m´o´s´s´u´d´a´c´a´s´y´m´e´n´o´s´a´u´
n´s´i´s´o´n´u´n´o´s´p´u´t´o´s´s´u´b´n´o´r´m´a´l´e´s´d´e´l´o´s´c´o´j´o´n´e´s´m´e´
n´s´a´j´e´p´a´r´a´r´i´c´a´r´d´o´g´a´l´l´i´n´a´s´d´u´e´n´i´o´d´e´m´e´n´e´a´m´e´j´
o´n´e´a´m´e´.´n´e´t´n´o´s´e´b´a´n´e´a´h´i´j´o´d´e´l´a´g´r´a´n´p´u´t´a´q´u´e´t´e´
p´a´r´i´o´m´a´r´i´c´o´n´d´e´m´i´e´r´d´a´s´u´d´a´c´a´l´l´e´n´o´d´e´m´i´e´r´d´a´
Actualmente los certificados se firman con sha, lo más normal sería que los certificados firmados con md5 (que no olvidemos que no deja de ser un una funcion hash) estuvieran ya caducados.
Respecto a la seguridad que te ofrece md5 para comparar las contraseñas de login sigue siendo realmente alta. ¿por que? porque para poder generar una secuencia que al hacerle el md5sum sea equivalente a la que genera el password original necesitas obtener el fichero donde se almacenan estos md5 o tener acceso a la base de datos donde estan almacenados. Solo el administrador del sistema o de la base de datos podria acceder a él (siempre y cuando el sistema este bien configurado).
#0 pero luego la ps3 mueve los juegos a pedales... estos de sony que clase de máquina han creado?
El chorras no se, pero para 3D con unas pocas te montas un cluster que lo flipas, y atento a utilizar las gráficas de ultima generación para estas movidas, cuando sea algo "standar" y los bots y troyanos tengan acceso a tal potencial...
Aunque pensandolo mejor, ¿Internet ha sido alguna vez seguro?,¿o es todo una ilusión?.
#35 Y el calor que desprenderían todas esas "cajas x" juntas!!
Pero es la leche andar por el meneame en la plasma de 50 pulgadas, estos ps3 si son machotes con ganas.
Para mi lo impresionante es como consiguieron las 200 PS3 , un verdadero reto ...
Como dice #2 y otros, lo único demostrado es que con una potencia de calculo brutal, la ruptura de md5 es posible en tiempo más o menos real.
Básicamente han puesto en marcha de toda una colección de procesadores, ya de por sí muy potentes, a trabajar en paralelo, para generar certificados falsos en 1-2 días. Todo esto, basándose en una CA que emite certificados con el serial y el timestamp predecibles.
En resumen, un entorno demasiado controlado como para asegurar que se ha roto SSL.
Bonito juguete el cluster ese de todas formas:D
Buah!! Yo eso lo hice hace tiempo ya con 200 gameboys jejeje
Me sumo a la peticion popular: Que se junten 200 tios a ver si rompen la seguridad de la PS3 de una vez ya
Eso lo hace tambien mi Wii, ademas al acabar, se oye a mario "Yaaaaahoooooo"
#8 El banco me envia un SMS al hacer una transferencia o pago.
Tendria que hackear los móviles y la propia web.
Muy bien, ahora solo te hacen falta 200 PS3 en el jardin de tu casa para romper la seguridad del SSL . Esta claro que el que no lo hace es porque no quiere joder