El cifrado SSL/TLS puede ser fácilmente crackeado según investigadores mediante ataques man-in-the-middle atacando conexiones seguras y sniffando contraseñas y otra información sensible.
#7:
#6 Lo mejor es que metas el usb en unl bocata de tortilla y vayas a casa del tío al que quieres enviarle la información diciendo "ésto te lo ha preparado mi madre guiño y contiene algo muy fresquito -guiño, guiño" mientras le entregas el bocata.
#15:
"In practice, I don't think this is a terribly big issue, but only because you have to have many 'ducks in a row.'"
An attack also would require exploiting a server that includes the older cipher suite option, as well as reusing a key for a long period of time, and of course, a man-in-the middle attack via a local area network or a WiFi network, he says. "It's not so easy otherwise," from afar, he says.
Vamos, que se tienen que dar unas condiciones muy, muy particulares para explotar el fallo. Y el propio investigador dice que no es un problema terrible.
Sensacionalista.
#12:
#3 No sé qué versión de Chrome usa pero la última es la "41.0.2272.76 m" y no es vulnerable, tampoco IE 11 en W8.1 con todas las actualizaciones. Chrome en Android 5.0.1 (Nexus 4) sí es vulnerable, acabo de instalar Firefox en el móvil y no es vulnerable. También depende del servidor, hace un mes que salió OpenSSL 1.0.2, así que no costará ponerse al día.
Sitio de pruebas: https://freakattack.com
#21:
El ataque empieza porque puedes forzar a un servidor a usar una encriptación de "sólo" 512 bits. O sea, que los clientes que no acepten claves de "sólo" 512 bits, están a priori a salvo (que supongo que es el parche que están lanzando los navegadores). Y aún cuando uses 512 bits, eso no significa que sea fácil de desencriptar. Es sólo el límite que puso legalmente la NSA en los noventa para que el gobierno pudiera, tranquilamente y sin prisa, espiar a posteriori conversaciones de interés.
Luego continúa con un man-in-the-middle, que si tienes una buena seguridad en tu red, es más que difícil de conseguir.
Estoy con #15 y #19, es un bug de seguridad, pero no es ni mucho menos algo escandaloso. Requiere de de un trabajo previo a través de otros agujeros de seguridad o de ingeniería social (para hacerte el man-in-the-middle) y luego de paciencia desencriptando tus conversaciones.
#3 No sé qué versión de Chrome usa pero la última es la "41.0.2272.76 m" y no es vulnerable, tampoco IE 11 en W8.1 con todas las actualizaciones. Chrome en Android 5.0.1 (Nexus 4) sí es vulnerable, acabo de instalar Firefox en el móvil y no es vulnerable. También depende del servidor, hace un mes que salió OpenSSL 1.0.2, así que no costará ponerse al día.
Sitio de pruebas: https://freakattack.com
"In practice, I don't think this is a terribly big issue, but only because you have to have many 'ducks in a row.'"
An attack also would require exploiting a server that includes the older cipher suite option, as well as reusing a key for a long period of time, and of course, a man-in-the middle attack via a local area network or a WiFi network, he says. "It's not so easy otherwise," from afar, he says.
Vamos, que se tienen que dar unas condiciones muy, muy particulares para explotar el fallo. Y el propio investigador dice que no es un problema terrible.
El ataque empieza porque puedes forzar a un servidor a usar una encriptación de "sólo" 512 bits. O sea, que los clientes que no acepten claves de "sólo" 512 bits, están a priori a salvo (que supongo que es el parche que están lanzando los navegadores). Y aún cuando uses 512 bits, eso no significa que sea fácil de desencriptar. Es sólo el límite que puso legalmente la NSA en los noventa para que el gobierno pudiera, tranquilamente y sin prisa, espiar a posteriori conversaciones de interés.
Luego continúa con un man-in-the-middle, que si tienes una buena seguridad en tu red, es más que difícil de conseguir.
Estoy con #15 y #19, es un bug de seguridad, pero no es ni mucho menos algo escandaloso. Requiere de de un trabajo previo a través de otros agujeros de seguridad o de ingeniería social (para hacerte el man-in-the-middle) y luego de paciencia desencriptando tus conversaciones.
#21 En pocas horas y por menos de 100 dólares con un servicio en la nube puedes romper el cifrado. Y la clave que rompes está vigente mientras el servidor web esté arrancado, así que con la misma clave puedes capturar tráfico durante semanas o meses. Contando con que la mayoría de los móviles con Android nunca se van a parchear, yo lo veo bastante grave. http://arstechnica.com/security/2015/03/freak-flaw-in-android-and-apple-devices-cripples-https-crypto-protection/
Si utilizas android, pasa de Chrome e instala Firefox. Google espera sacar un parche en breve, pero Firefox no tiene este bug ya de primeras. Firefox en OSX también está libre del bug. Otras apps pueden estar igualmente expuestas, así que lo suyo es esperar a una actualización de sistema, pero por lo menos que la navegación sea segura.
Normalmente cuando ponen fácilmente quieren decir que después de no sé cuántos años de buscar el bug en el laboratorio han encontrado como explotarlo. Porque cuando algo es realmente fácilmente explotable, es explotado.
#6 Lo mejor es que metas el usb en unl bocata de tortilla y vayas a casa del tío al que quieres enviarle la información diciendo "ésto te lo ha preparado mi madre guiño y contiene algo muy fresquito -guiño, guiño" mientras le entregas el bocata.
Comentarios
El error es bastante grave. Más info:
http://putoinformatico.blogspot.com.es/2015/03/se-descubre-una-nueva-vulnerabilidad-de.html
#3 No sé qué versión de Chrome usa pero la última es la "41.0.2272.76 m" y no es vulnerable, tampoco IE 11 en W8.1 con todas las actualizaciones. Chrome en Android 5.0.1 (Nexus 4) sí es vulnerable, acabo de instalar Firefox en el móvil y no es vulnerable. También depende del servidor, hace un mes que salió OpenSSL 1.0.2, así que no costará ponerse al día.
Sitio de pruebas: https://freakattack.com
#12: Opera 12.16, de casi dos glaciaciones informáticas atrás, tampoco.
"In practice, I don't think this is a terribly big issue, but only because you have to have many 'ducks in a row.'"
An attack also would require exploiting a server that includes the older cipher suite option, as well as reusing a key for a long period of time, and of course, a man-in-the middle attack via a local area network or a WiFi network, he says. "It's not so easy otherwise," from afar, he says.
Vamos, que se tienen que dar unas condiciones muy, muy particulares para explotar el fallo. Y el propio investigador dice que no es un problema terrible.
Sensacionalista.
El ataque empieza porque puedes forzar a un servidor a usar una encriptación de "sólo" 512 bits. O sea, que los clientes que no acepten claves de "sólo" 512 bits, están a priori a salvo (que supongo que es el parche que están lanzando los navegadores). Y aún cuando uses 512 bits, eso no significa que sea fácil de desencriptar. Es sólo el límite que puso legalmente la NSA en los noventa para que el gobierno pudiera, tranquilamente y sin prisa, espiar a posteriori conversaciones de interés.
Luego continúa con un man-in-the-middle, que si tienes una buena seguridad en tu red, es más que difícil de conseguir.
Estoy con #15 y #19, es un bug de seguridad, pero no es ni mucho menos algo escandaloso. Requiere de de un trabajo previo a través de otros agujeros de seguridad o de ingeniería social (para hacerte el man-in-the-middle) y luego de paciencia desencriptando tus conversaciones.
#21 En pocas horas y por menos de 100 dólares con un servicio en la nube puedes romper el cifrado. Y la clave que rompes está vigente mientras el servidor web esté arrancado, así que con la misma clave puedes capturar tráfico durante semanas o meses. Contando con que la mayoría de los móviles con Android nunca se van a parchear, yo lo veo bastante grave.
http://arstechnica.com/security/2015/03/freak-flaw-in-android-and-apple-devices-cripples-https-crypto-protection/
#24 Sigues necesitando un man-in-the-middle.
Y no hace falta actualizar todo Android, sólo las actualizaciones (la mayor parte de las veces automáticas) de las aplicaciones.
#27 Salvo que lo que sea vulnerable sea Android, como el último error descubierto en el WebView que afecta a todos los Android 4.3 o anteriores y que Google ya no va a parchear. Si la aplicación usa WebViews, usa las que proporciona Android.
http://arstechnica.com/security/2015/01/google-wont-fix-bug-hitting-60-percent-of-android-phones/
#24 En la misma página dice que ya está solucionado, no sé si te refieres a eso.
#0 ¿Esnifando? Vaya fiesta ¿no?
#1 https://es.wikipedia.org/wiki/Anexo:Tipos_de_packet_sniffers
#2 En ese enlace no pone "esnifando" por ninguna parte
#4 Corregido
#5
Si utilizas android, pasa de Chrome e instala Firefox. Google espera sacar un parche en breve, pero Firefox no tiene este bug ya de primeras. Firefox en OSX también está libre del bug. Otras apps pueden estar igualmente expuestas, así que lo suyo es esperar a una actualización de sistema, pero por lo menos que la navegación sea segura.
#8 Y aquí el enlace para instalarlo:
https://play.google.com/store/apps/details?id=org.mozilla.firefox&hl=es
El cifrado SSL/TLS puede ser fácilmente crackeado
Normalmente cuando ponen fácilmente quieren decir que después de no sé cuántos años de buscar el bug en el laboratorio han encontrado como explotarlo. Porque cuando algo es realmente fácilmente explotable, es explotado.
"fácilmente crackeado...mediante ataques man-in-the-middle atacando conexiones seguras y sniffando contraseñas y otra información sensible"
Lo de fácilmente lo dirá por la facilidad y obviedad del bug para los cuñados hackers informáticos que por supuesto ya sabían como explotarlo.
Esto podría tener las mismas consecuencias que tuvo el Heartbleed.
Es decir, casi ninguna.
Al final va a ser más seguro enviar los datos en claro
#6 Lo mejor es que metas el usb en unl bocata de tortilla y vayas a casa del tío al que quieres enviarle la información diciendo "ésto te lo ha preparado mi madre
guiñoy contiene algo muy fresquito -guiño, guiño" mientras le entregas el bocata.#7 Y si hackearon los huevos? O la sarten?
#13 El pendrive es más que hackeable.
#7 ¿Pero la tortilla debe ser con cebolla o sin?
Si estuviesen los servidores al día, esto no pasaría...
Volveremos a las palomas mensajeras. Eso sí es seguro !
#9 Con un ataque de plomo se puede romper esa seguridad.
Se dice "detalle", no fallo.
No se anteriores pero desde Firefox 36.0 no es vulnerable.
Salu2
Pues a mi tanto firefox como chrome me dice la página de comprobación que son seguros.
Nótese que uno de los descubridores del bug trabaja en un instituto de investigación español (IMDEA)