miércoles, 4 de marzo de 2015

Se descubre una nueva vulnerabilidad de SSL/TLS


Se ha descubierto un grave error que podría permitir a usuarios malintencionados interceptar conexiones seguras HTTPS entre clientes vulnerables y servidores, y forzarles a usar un cifrado de bajo nivel, el cual podría ser descifrado sin demasiada dificultad.

Este error viene de que, allá por los años 90, el gobierno norteamericano prohibía a las empresas exportar productos que contuvieran posibilidades cifrado de alto nivel, si bien era posible que tuviese un cifrado de bajo nivel (Export-grade le llamaban), que en aquellos momentos era bastante seguro, siendo necesario el uso de un superordenador para descifrarlo, algo que no estaba al alcance de cualquiera en aquella época.

Aunque esas restricciones se levantaron en año 99, aun es posible encontrar ese cifrado de bajo nivel en aplicaciones actuales, haciéndonos vulnerables a este fallo de seguridad.

Los descubridores (Karthikeyan Bhargavan del INRIA de París y el equipo de miTLS) han bautizado este error como "the FREAK attack", que vendría significando "el EXTRAÑO ataque".

He probado todos los navegadores que tengo en el ordenador con la web que informa del error, y tanto con Firefox como con Chrome (ambos actualizados a la ultima versión) me indica que son vulnerables (aunque no tengo claro si a este error, o a otro), no así con TOR (un navegador anónimo basado en Firefox), que es el único que, de momento, ha sido identificado como seguro por dicho sitio web.

Al parecer, el navegador Safari de Apple es también vulnerable a este agujero de seguridad.

Actualización:

Según cuentan, las versiones de Windows de Internet Explorer, Chrome y FIrefox no están afectadas por este error (respiramos más tranquilos ya), pero si los navegadores por defecto de la mayoría de sistemas Android, así como el navegador Safari (tanto en Windows, como en los diferentes sistemas operativos de Apple)

Fuente: Techcrunch

2 comentarios:

Anónimo dijo...

que fallo mas bestia, valla problema de seguridad se puede liar por esto... gracias por compartirlo :)

Kullman dijo...

Esperemos que, al final, no pase nada...