Feeds:
Entradas
Comentarios

Posts Tagged ‘firmas firmas everywhere’

Sony EPIC FAIL

Sony EPIC FAIL

No podía dejar de comentar LA noticia de estos días en el mundo del hacking: el famoso EPIC FAIL de Sony.

Dado que la conexión a Internet que tenía en el hotel era una auténtica basura, apenas pude leer un par de párrafos sobre el tema, y tenía sólo una idea general del fallo. Ahora he podido leerlo con más calma… y lo de EPIC FAIL casi se queda corto. Parece que hay gente que sigue pensando que la PKI, por sí misma, es la solución mágica a todos los problemas de seguridad. No obstante, ya sabemos que una cadena es tan fuerte como el más débil de sus eslabones, y usar la PKI es como hacer malabares con cuchillos en llamas: muy divertido, hasta que se mete la pata.

En este caso, el problema viene dado por un número que debía ser aleatorio y -olé sus huevos- era una constante. Esto, que no es un bug ni un exploit siendo formales, ha permitido obtener las claves privadas usadas por Sony para firmar todos los contenidos de su sistema. Básicamente no hay que hackear nada, porque es posible hacer pasar cualquier código como algo aprobado por Sony; pues de hecho, estará firmado por Sony. :-)

¿Pueden corregirlo? Difícilmente. Invalidar las claves que se han obtenido, salvo que tengan algún as en la manga (¿una segundo juego de claves?), haría que dejaran de funcionar todos los juegos existentes en el mercado. Vale que se follaran a Linux sin piedad, pero sus juegos es harina de otro costal, y no podrían hacer eso aunque quisieran.

Si tenéis un rato libre, no dejéis de ver los vídeos en youtube con la conferencia.

Por cierto, que al final ha ocurrido lo que ya pronostiqué: eliminar Linux sólo ha conseguido acelerar la caída de la seguridad de la PS3. Lo sabía yo, lo sabía todo Internet… y, en definitiva, parece que lo sabíamos todos menos Sony.

Y chapeau para Marcan y su equipo, desde luego.

Read Full Post »

A %d blogueros les gusta esto: