Menéame: comentarios [1213713]

#9 Comodohacker, el iraní de 21 años detrás del reciente golpe a los certificados SSL

Razhan — Wed, 30 Mar 2011 21:55:35 +0000

#5 Y bien merecido que estaría ese Nobel

Hay una sutil diferencia entre lograr un ataque a la criptografía de clave publica por factorización de enteros que por lograr hacerse con el control de una CA. SSL tiene dos funciones, la autenticación y el cifrado.

El tipo de ataque que ha conseguido vulnera el primer pilar de SSL, pero no el segundo. Un ataque por factorización permitiría leer el trafico de un usuario sin necesidad de un Man in the middle (y otras muchas cosas sucias, principalmente, en vez de crear certificados falsos en los que la gente confia, permitiría crear réplicas de los certificados reales). Vamos, que esto significaría tirar a la basura casi todos los sistemas de criptografia que usamos hoy en día, pues es un ataque al algoritmo en sí

El ataque descrito en el manifiesto es la historia de siempre, SQL Injections, claves poco seguras, codigo mal escrito (¿usuario y password hardcodeados en una dll? Joder!!). Con mis respetos para el chaval, no hace falta la experiencia de 1000 hackers/programadores, basta con la de uno

Al menos la gente ahora se empezará a dar cuenta que un problema de base de SSL esta en que depende de confiar en unas empresas / entidades gubernamentales que a veces son tan chapuzas como cualquiera de nosotros.

Y si, el hackeo de ahora requiere algo más para funcionar (muchos apuntan a un envenenamiento de DNS), pero hay muchisimas formas para suplantar una identidad (un buen puñado requieren de acceso a la máquina cliente, pero modificación de rutas, ARP spoofing y eso sin contar ISP o gente que controle proxies)

» autor: Razhan

#8 Comodohacker, el iraní de 21 años detrás del reciente golpe a los certificados SSL

roig — Tue, 29 Mar 2011 11:48:11 +0000

#6 Según sus declaraciones en el enlace de #1 :

At first I decided to hack RSA algorithm, I did too much investigation on SSL protocol, tried to find an algorithm for factoring integer, analyzed existing algorithms, for now I was not able to do so, at least not yet, but I know it's not impossible and I'll prove it.

Claro que al final cortó por el eslabón más débil, pero que si jamás lo consigue se le da el Nobel de matemáticas.

#7 Sí, si no digo que no sea posible. Si ya se ha visto cómo los DNS no hace falta ni crackearlos, si eres del gobierno los puedes editar al gusto. Por eso digo que si ha hecho todo esto es porque puede acceder al DNS de la forma que sea.

Y digo que me parece un farol porque es lo que diría yo si quisiera meter miedo al personal con un "mira lo que ha hecho un niño y piensa entonces lo que pueden hacer los expertos" y hacer pasar desapercibido un ejército de hackers y si encuentran a alguien que sirva de cabeza de turco y se piensen que ya tienen al responsable:

I'm not a group of hacker, I'm single hacker with experience of 1000 hackers [...explica todo que ha hecho y qué guai y qué rápido y qué fácil porque él es un genio...] Anyway, I know you are really shocked about my knowledge, my skill, my speed, my expertise and entire attack. That's OK, all of it was so easy for me, I did more important things I can't talk about, so if you have to worry, you can worry... I should mention my age is 21

Farol. Es sólo mi opinión, claro.

» autor: roig

#7 Comodohacker, el iraní de 21 años detrás del reciente golpe a los certificados SSL

witilza — Tue, 29 Mar 2011 10:17:02 +0000

#5 para ejecutar un ataque necesitaría acceder a los DNS, pero eso ya se ha visto que en ciertas situaciones es más que posible, de hecho Microsoft ha anulado el acceso SSL a Hotmail desde países cuyos DNS pudieran estar comprometidos.

» autor: witilza

#6 Comodohacker, el iraní de 21 años detrás del reciente golpe a los certificados SSL

witilza — Tue, 29 Mar 2011 10:13:41 +0000

#5 no le hace falta factorizar nada, simplemente le ha bastado con cortar el eslabón más débil de la cadena y el resultado a efectos prácticos es el mismo.

y no parece un farol: erratasec.blogspot.com/2011/03/verifying-comodo-hackers-key.html

» autor: witilza

#5 Comodohacker, el iraní de 21 años detrás del reciente golpe a los certificados SSL

roig — Tue, 29 Mar 2011 02:31:07 +0000

Yo creo que es un farol. Los certificados no sirven si no suplanta la dirección ip crackeando los DNS. Por lo tanto es alguien que puede hacer eso, alguien que tiene acceso a los DNS.

Por otra parte, si encuentra un método para factorizar 1 número en dos primos enormes reventando SSL, que se pase a recoger el Nobel de matemáticas.

» autor: roig

#4 Comodohacker, el iraní de 21 años detrás del reciente golpe a los certificados SSL

Scan — Mon, 28 Mar 2011 10:59:53 +0000

"a) I'm not a group of hacker, I'm single hacker with experience of 1000 hackers, I'm single programmer with

experience of 1000 programmers, I'm single planner/project manager with experience of 1000 project

managers, so you are right, it's managed by a group of hackers, but it was only I with experience of 1000

hackers."

Y mi mama dice que soy el niño más guapo del mundo... y mi papa mola más que el tuyo...y no tengo abuela...

» autor: Scan

#3 Comodohacker, el iraní de 21 años detrás del reciente golpe a los certificados SSL

kanjiru — Mon, 28 Mar 2011 10:58:44 +0000

"Cómodos" seguro que no se han quedado las compañias que emiten los certificados SSL después del ataque de Comodohacker...

» autor: kanjiru

#2 Comodohacker, el iraní de 21 años detrás del reciente golpe a los certificados SSL

bekobenta — Mon, 28 Mar 2011 10:46:53 +0000

Pues como se joda el sistema de certificaciónes, el problema puede ser gordo, comenzando por los millones de transacciones económicas y comerciales que se efectúan en cada momento (no creo que los bancos, especuladores en bolsa, etc. puedan estar muy contentos con esto).

» autor: bekobenta

#1 Comodohacker, el iraní de 21 años detrás del reciente golpe a los certificados SSL

--227313-- — Mon, 28 Mar 2011 10:31:40 +0000

Tiene mucho talento este chico. No hay que perderse su manifiesto: pastebin.com/74KXCaEZ

» autor: --227313--