Eli
371meneos

Cómo unos hackers rompieron la seguridad del SSL usando 200 PS3

hackaday.com/2008/12/30/25c3-hackers-completely-break-ssl-us... 
por thombjork el 30-12-2008 19:29 UTC, publicado el 30-12-2008 22:30 UTC

[c&p] Interesante historia sobre uno de los más comunes sistemas de seguridad web. El sistema que rompieron es el SSL (Secure Sockets Layer, Protocolo de Capa de Conexión Segura) más comúnmente conocido como «el candado de las páginas web de Internet» (pues se usa como parte del protocolo HTTPS). Lo que usaron fue una capacidad de análisis impresionante, diversas técnicas ingeniosas y la potencia de 200 PlayStation 3 [...] [Eng] Vía MIcrosiervos

 42 comentarios en: tecnología, seguridad karma: 612
etiquetas: hackers, seguridad, ssl, ps3, seguridad
negativos: 1  usuarios: 201  anónimos: 170  compartir:  twitter  facebook  friendfeed
  1. #2   Datos cifrados usando MD5, que se sabe roto desde el año 2005 ( merlot.usc.edu/csac-f06/papers/Wang05a.pdf ).

    Simplemente han puesto en práctica este paper que he indicado, y decir que el 95% de los certificados usados actualmente tienen como mínimo un cifrado de SHA-1 y a nadie en su sano jucio se le ocurriría usar MD5. Decir que se estima que a medio plazo SHA-1 podría ser vulnerable pero a día de hoy se sigue considerando seguro.
    votos: 24, karma: 219
    por kabute el 30-12-2008 19:43 UTC
  2. #5   » ver comentario
    por --105839-- el 30-12-2008 19:59 UTC
  3. #7   Mucho romper el SSl y no consiguen piratear la ps3 :lol:
    votos: 21, karma: 173
    por filipo el 30-12-2008 20:39 UTC
  4. #16   Menuda mierda de titular. El MD5 lleva roto desde hace años, no lo han roto ahora. Que lo intenten con un SHA1, que me espero sentado.

    PD: ¡Eso pasa por dejar que escriban noticias de informática los intrusos sin título!
    </bait>
    votos: 8, karma: 67
    por DZPM el 30-12-2008 22:39 UTC
  5. #8   Mierda #0 iba a enviarla hace unas horas pero me dije "luego lo hago" xD

    www.win.tue.nl/hashclash/rogue-ca/ [Eng]

    Lo malo de conseguir crear certificados falsos es que si "okupan" el nombe de dominio de, por ejemplo, un banco, pueden suplantar absolutamente todo, hasta la autenticacion de usuarios sin que nadie note nada raro., eh jodido.
    votos: 5, karma: 61
    por IOsobar el 30-12-2008 20:55 UTC
  6. #14   #12 ¿Quien dice que las hayan comprado? ^^
    votos: 6, karma: 60
    por Wilder el 30-12-2008 22:29 UTC
  7. #3   ¿¡De donde sacaron 200 PS3!?
    votos: 6, karma: 58
    por ice8 el 30-12-2008 19:44 UTC
  8. #20   pues a ver si juntan 200 SSH y rompen la proteccion de una ps3 para mi seria mejor noticia
    votos: 6, karma: 58
    por Radioak el 30-12-2008 22:58 UTC
  9. #1   » ver comentario
    por --118865-- el 30-12-2008 19:42 UTC
  10. #27   Espartanoooooooooos!!!!

    Ah, no, que son 200...XD
    votos: 6, karma: 51
    por marotorod el 30-12-2008 23:43 UTC
  11. #19   Oh no! ahora en vez de capacidad de "Bibliotecas de Londres" se usaran PS3 en el sistema no internacional de ordenadores.

    Viva las dimensiones de los campos de futbol y peliculas/segundo xD
    votos: 5, karma: 49
    por Abeel el 30-12-2008 22:53 UTC
  12. #12   #3 #11, la pregunta es: "¿De dónde sacaron la pasta para comprarlas?" xD
    votos: 3, karma: 43
    por eboke el 30-12-2008 22:00 UTC
  13. #33   Nadie leyo la noticia, verdad? Se me olvida donde estoy, sorry :P

    La noticia noe s que se rompio MD5, lo que se logro fue efectivamente, romper el SSL, mas especificamente el PKI (public key infraestructure) por su link mas debil. Con esto se pueden hacer pasar por un CA (certificate authority) y crear certificados SSL que seran aceptados por todos los navegadores, ya que los navegadores confian por default en los CA. Esto afecta solamente a los certificados creados con MD5, de los cuales hay muchos en el mercado, aunque ciertamente no la mayoria.

    El asunto es ahora, o revocan los certificados anteriores, o se reemplazan los certificados actuales emitidos con MD5.

    Microsoft ya respondio diciendo que no pasa nada, que no hay que alarmarse.

    <shameless plug>
    www.masio.com.mx/https-y-ssl-ya-no-pueden-ser-considerados-seguros/
    </shameless plug>
    votos: 4, karma: 33
    por Masiosare el 31-12-2008 02:17 UTC
  14. #24   #23, eso pasará cuando quiera Sony quiera, en esas conocidas "filtraciones". xD
    votos: 1, karma: 21
    por eboke el 30-12-2008 23:24 UTC
  15. #21   Ya esta, Ps2 podia lanzar misiles y PS3 puede acabar con la seguridad mundial... ¡¡Todo es un plan ideado por Sony para destuir el mundo!!
    votos: 2, karma: 18
    por Whitefox el 30-12-2008 23:08 UTC
  16. #11   ¿de donde sacaron las 200 ps3?
    votos: 1, karma: 17
    por rar el 30-12-2008 21:48 UTC
  17. #10   Cualquier dia se cae la Reserva Federal Americana por un ataque de Wiis
    votos: 1, karma: 16
    por Don_Gato el 30-12-2008 21:47 UTC
  18. #9   #8 "Pasa en la vida real, pasa en Meneame" xD
    votos: 1, karma: 14
    por Bender el 30-12-2008 20:57 UTC
  19. #13   » ver comentario
    por --54566-- el 30-12-2008 22:27 UTC
  20. #30   Bueno, ya que no consiguen vender la ps3 como consola, siempre podrán hacer packs de 200 para hacer el chorras en casa.
    votos: 3, karma: 13
    por Oestrimnio el 31-12-2008 00:09 UTC
  21. #15   Que paciencia hay que tener para montar esa estanteria y poner cada ps3 tan bien colocaditas.
    votos: 1, karma: 12
    por dobforu el 30-12-2008 22:38 UTC
  22. #18   #17, sí, sí, pero ya tienen tus datos :)
    votos: 0, karma: 12
    por eboke el 30-12-2008 22:51 UTC
  23. #25   Vale, y yo utilizando MD5 para guardar contraseñas cifradas en las bases de datos. A lo mejor conviene utilizar sha1, total, el comando en PHP es practicamente el mismo. De todos modos si hace falta un clúster de 200 Playstation 3, no creo que el sacar datos de hashes codificados en md5 sea algo al alcance de cualquiera. :-O
    votos: 0, karma: 11
    por DoodoM el 30-12-2008 23:29 UTC
  24. #38   Por si alguno quiere apuntarse en la ruptura del SHA1, hay un equipo español, de Kriptópolis.org que encabeza el ranking mundial de busqueda de una colisión SHA1 (boinc.iaik.tugraz.at/sha1_coll_search/top_teams.php).

    La busqueda la organiza una universidad austríaca. Para los que quieran ceder parte de sus ciclos de máquina libres al proyecto:
    www.kriptopolis.org/boinc

    Si se consigue siempre podrás decir que participaste en la ruptura del SHA1, que eso los viernes por la noche en el bar mola mucho y ligas montón :D
    votos: 0, karma: 11
    por Stash el 31-12-2008 07:39 UTC
  25. #32   Tal vez me atasquen de negativos, pero.. no sería este meneo una duplicada de meneame.net/story/grave-vulnerabilidad-infrastructura-pki-navegadores-s ? (mas que nada porque aquella apunta al analisis de la vulnerabilidad)
    votos: 0, karma: 8
    por oso96_2000 el 31-12-2008 01:38 UTC
  26. #39   #34, qué va, si están todas las tiendas y grandes superficies llenas de PS3 sin vender :D
    votos: 0, karma: 8
    por gorgias1976 el 31-12-2008 07:51 UTC
  27. #4   #1 Ya, pero la wii es para toda la familia :-)

    Impresionante trabajo, sobre todo porque se podrían haber forrado con la tecnología desarrollada y pagado las ps3 en medio mañana. Está bien saber que los "cientificos locos" usan sus poderes para el bien.
    votos: 0, karma: 7
    por genderbender el 30-12-2008 19:45 UTC
  28. #6   » ver comentario
    por --113741-- el 30-12-2008 20:36 UTC
  29. #26   No han roto SSL, tan solo han llevado a la práctica algo que teoricamente era posible desde hace unos años. Colisiones en el algoritmo MD5, o dicho de otra manera, que el mismo hash apunte a dos cosas bien distintas. ¿Afecta? Como bien dicen por arriba, desde hace tiempo se esta migrando a SHA-1 y solo afectaría a los certificados firmados con MD5 despues de esta demostración, de la cual los investigadores tampoco han hecho público los detalles.

    Lo peor no es que hayan creado un certificado falso que se traga un navegador, lo peor es que la gran mayoría de usuarios no saben para que sirve e ignoran las advertencias del navegador cuando los certificados están caducados. Resultado: Que en vez de entrar en la web www.banco.com entran en www.banc0.com y luego pasa lo que pasa.
    votos: 0, karma: 7
    por Bijarne_Strustus el 30-12-2008 23:34 UTC
  30. #35   Me pregunto, si hacen esto con la xbox360 empezarán a salir lucecitas rojas por todos lados? es una fissshhta.
    votos: 2, karma: 7
    por Loya el 31-12-2008 04:25 UTC
  31. #17   #8 El banco me envia un SMS al hacer una transferencia o pago.

    Tendria que hackear los móviles y la propia web.
    votos: 0, karma: 6
    por World el 30-12-2008 22:41 UTC
  32. #22   Eso lo hace tambien mi Wii, ademas al acabar, se oye a mario "Yaaaaahoooooo"
    votos: 0, karma: 6
    por guiloma el 30-12-2008 23:11 UTC
  33. #23   Me sumo a la peticion popular: Que se junten 200 tios a ver si rompen la seguridad de la PS3 de una vez ya XD
    votos: 0, karma: 6
    por neopablinho el 30-12-2008 23:20 UTC
  34. #28   Buah!! Yo eso lo hice hace tiempo ya con 200 gameboys jejeje
    votos: 0, karma: 6
    por Josefield el 31-12-2008 00:01 UTC
  35. #29   Como dice #2 y otros, lo único demostrado es que con una potencia de calculo brutal, la ruptura de md5 es posible en tiempo más o menos real.

    Básicamente han puesto en marcha de toda una colección de procesadores, ya de por sí muy potentes, a trabajar en paralelo, para generar certificados falsos en 1-2 días. Todo esto, basándose en una CA que emite certificados con el serial y el timestamp predecibles.

    En resumen, un entorno demasiado controlado como para asegurar que se ha roto SSL.
    Bonito juguete el cluster ese de todas formas:D
    votos: 0, karma: 6
    por ttl el 31-12-2008 00:02 UTC
  36. #34   » ver comentario
    por --43704-- el 31-12-2008 02:57 UTC
  37. #36   » ver comentario
    por --112115-- el 31-12-2008 05:39 UTC
  38. #37   El chorras no se, pero para 3D con unas pocas te montas un cluster que lo flipas, y atento a utilizar las gráficas de ultima generación para estas movidas, cuando sea algo "standar" y los bots y troyanos tengan acceso a tal potencial...

    Aunque pensandolo mejor, ¿Internet ha sido alguna vez seguro?,¿o es todo una ilusión?.
    votos: 0, karma: 6
    por Naiyeel el 31-12-2008 07:31 UTC
  39. #40   Actualmente los certificados se firman con sha, lo más normal sería que los certificados firmados con md5 (que no olvidemos que no deja de ser un una funcion hash) estuvieran ya caducados.

    Respecto a la seguridad que te ofrece md5 para comparar las contraseñas de login sigue siendo realmente alta. ¿por que? porque para poder generar una secuencia que al hacerle el md5sum sea equivalente a la que genera el password original necesitas obtener el fichero donde se almacenan estos md5 o tener acceso a la base de datos donde estan almacenados. Solo el administrador del sistema o de la base de datos podria acceder a él (siempre y cuando el sistema este bien configurado).
    votos: 0, karma: 6
    por albandy el 31-12-2008 10:21 UTC
  40. #41   » ver comentario
    por --118812-- el 01-01-2009 05:31 UTC
  41. #42   » ver comentario
    por --72350-- el 01-01-2009 15:00 UTC
  42. #31   Muy bien, ahora solo te hacen falta 200 PS3 en el jardin de tu casa para romper la seguridad del SSL . Esta claro que el que no lo hace es porque no quiere joder
    votos: 0, karma: 5
    por Mox el 31-12-2008 00:22 UTC
comentarios cerrados

menéame