Noticias de Interés

28/05/2011 Publicada en el BOE la Ley que regula el juego online(PDF) 31/03/2011 Juez obliga a devolver el canon a Nokia # 24/03/2011 La Audiencia Nacional anula la normativa que regula el canon digital # 23/03/2011 Audiencia Provincial de Madrid - Caso Indicedonkey y Caso Spanishshare: Enlazar no es delito # 17/03/2011 Miembro de la Academia de Cine detenido por lucrarse colgando películas en la red de forma presuntamente ilícita # 17/03/2011 Estados Unidos bloquea exvagos.es # 03/03/2011 Sentencia contra el canon en la Audiencia Provincial de Barcelona # 15/02/2011 Se aprueba la Ley Sinde en el Congreso-Ya es definitiva # 04/02/2011 Aprobado Proyecto de Ley de Regulación del Juego ONLINE # 01/02/2011 Comisión de Economía del Senado aprueba la Ley Sinde # 26/1/2011 Twitter bloqueado en Egipto por protestas contra Mubarak # 25/1/2011 Alex de la Iglesia diimite tras nefasta Ley Sinde # 24/1/2011 PP y PSOE pactan ley SINDE # 24/1/2011 Gran operación policial contra la pedofília # 15/1/2011 Anonymous convoca ataque DDoS el 16 de enero a las 18:00 por la votación el 18 de Enero de la ley Sinde # 12/1/2011 Tribunal Constitucional: la sentencia del canon europea ha de aplicarse en España porque forma parte de nuestro derecho interno # 11/1/2011 Convocada por internet primera manifestación contra Ley Antitabaco # 11/1/2011 Victoria judicial de Rapidshare en Alemania # 8/1/2011 Manifestaciones en toda España contra Ley Sinde # 8/1/2011 Manifestación en Murcia pro Wikileaks y contra Ley Sinde # 3/1/2011 Sentencia sobre caso Chipspain.com # 23/12/2010 Detenciones de responsables de webs de descarga y grabadores de screeners # 21/12/2010 Hoy se aprueba la ley SINDE con polémica y movilizaciones # 16/12/2010 Detención y registro TaquillaDivx.com # 13-12-2010 Suspensión medidas cautelares contra PSJailbreak #

sábado, 26 de marzo de 2011

El HTTPS no es infalible: los grandes son atacados, puede que constantemente

Explicamos el otro día que las conexiones HTTPS aportan un extra de seguridad a las conexiones, pero ojo, no son infalibles.

Los grandes de internet: atacados

Hace un par de días,  Jacob Appelbaum, creador del interesante proyecto de anonimato online TOR e investigador de seguridad, denunciaba que había descubierto un ataque MAN-IN-THE-MIDDLE que había afectado afectaba a grandes compañias como Google o Yahoo. Mediante un falso certificado, un servidor iraní estaba recibiendo las claves privadas que encriptan las contraseñas, así como el resto de paquetes por lo que podría extraerlas. 

El ataque fue solventado sin ser hecho público, mediante actualizaciones en los principales navegadores para que no aceptaran esos certificados.

Luz y taquígrafos

COMODO, empresa dedicada a servicios de seguridad informática (antivirus, firewalls) y proveedor de certificaciones SSL, el certificador suplantado, al parecer desde un servidor iraní, publicó información sobre el ataque sufrido el día 15 de marzo mediante un post en su blog (accesible aquí). 8 días después del ataque.

El HTTPS no es infalible

El hecho de que los navegadores tengan listas de certificados no autorizados es evidencia de que estos ataques se producen continuamente.

Sin embargo el modo de atajarlos es ciertamente preocupante, ya que dependen de una actualización del navegador por parte del usuario, actualización que no es forzada en ningún caso sino meramente recomendable. Es decir, los usuarios pueden quedar expuestos durante mucho tiempo.

Parece que el método de listas de certificados revocados, que en todo caso deberán haber sido incluidas en una actualización del software, como si fuera un error del mismo en lugar de un ataque, no convence a los expertos en seguridad. De hecho, si el cracker esta capturando los paquetes del usuario, en todos los navegadores recibe las claves privadas.Es decir, los ataque dirigidos (al contrario de los aleatorios y en cualquier caso los más peligrosos) no se evitan con estas técnicas.

La proliferación de Certificadores no ayudaThe EFF SSL Observatory ha denunciado la existencia de 650 certificadores sospechosos autorizados por Microsoft y Mozilla.

El principal problema y puede que la solución es que los certificados tienen largas vigencias (1 año o más). Si esta fuera de unos pocos días se minimizarían los riesgos a cambio de una pequeña molestia al usuario (aceptación de certificados). Así que el panorama esta avocado al cambio, o eso espero.

Y mientras tanto, usar una VPN o TOR para nuestras conexiónes vitales puede no ser una mala idea.

Para saber más:





Safe Creative #1012140013368
Publicado por Alberto Ortín Ortuño en 16:39
Etiquetas: , ,

No hay comentarios:

Publicar un comentario

Suscribirse a: Enviar comentarios (Atom)