Feeds:
Entradas
Comentarios

Posts Tagged ‘SSL’

Supongo que a estas alturas conoceréis BEAST, y cuáles son sus riesgos.

A continuación, una demo que muestra cómo aprovechar BEAST para comprometer una cuenta de PayPal.

Read Full Post »

Hoy os presento una nueva extensión de Firefox relacionada con la seguridad, de nuevo con SSL/TLS. Certificate Patrol se encarga de monitorizar los certificados utilizados en las conexiones supuestamente seguras que establecemos con nuestro navegador, así como los cambios en los mismos.

Esta extensión detectará e informará, por ejemplo, cuando un certificado haya sido renovado, cuando la autoridad de certificación que firma un certificado dado cambie, etc. Todas estas situaciones (que se explican en detalle en la página oficial), podrían ser inocuas… o no. La extensión nos informará, y hará una estimación del riesgo que supone el cambio, dejando al usuario la decisión final sobre cómo actuar.

Nunca se es suficientemente precavido… sobre todo en vista de acontecimientos como el famoso caso del “Comodogate”.

Read Full Post »

Rescato la serie de extensiones de Firefox para recomendar una que, dados los tiempos que corren, resulta imprescindible: HTTPS Everywhere.

De la mano de nada más y nada menos que la gente de la Electronic Frontier Foundation y el proyecto Tor, esta extensión fuerza la utilización de SSL/TLS en una serie de dominios comunes que, aún cuando permiten el uso de esta modalidad, no lo implementan para todas las peticiones. Lo mejor es la facilidad de uso, pues esta extensión actúa de forma completamente transparente para el usuario, que no deberá preocuparse de nada.

HTTPS Everywhere

HTTPS Everywhere

Read Full Post »

Y vuelta a la carga. Ayer leí en The Register la noticia sobre una nueva vulnerabilidad en OpenSSL.

Resumiendo mucho (muuuuuuuuucho), se trata básicamente de un ataque lateral en el que, mediante la inyección de fluctuaciones de alimentación eléctrica, provocan situaciones “rarunas” en el procesador durante los cálculos del algoritmo. Si alguien está interesado en saber más sobre este tipo de ataques, que escarbe un poco por el blog de Eloi, que de esto sabe un rato largo.

Mientras lo leía, estaba pensando en las dificultades de llevar a la práctica este tipo de ataques contra un servidor real. No sólo necesitas acceso físico, sino acceso libre a los componentes electrónicos del hardware, y mucho tiempo. No obstante, los investigadores se han tirado inyectando fallos durante 104 horas para obtener una clave de 1024 bits…

Pues bien, como me esperaba, no ha tardado en desatarse nuevamente el sensacionalismo. En menéame podemos leer que “logran romper cifrado RSA de 1024 bits“. ¡Toma ya! Y sin vaselina. Consultando la fuente (me niego a enlazarla; si alguien le interesa, está en la entrada de menéame), podemos leer perlas como las siguientes:

  • Esto se logró variando los niveles de tensión enviados al destinatario para generar cifrados defectuoso“. ¿Variando los niveles de tensión enviados al destinatario? Dicho así, cualquiera pensaría que cambian una codificación Manchester por Manchester diferencial. Los investigadores, en realidad, inducen fluctuaciones en la fuente de alimentación. No se envía nada.
    • The university scientists found that they could deduce tiny pieces of a private key by injecting slight fluctuations in a device’s power supply as it was processing encrypted messages“.
  • Esto hace tambalear uno de los pilares del RSA“. ¡Arrepentíos!
    • An OpenSSL official […] stressed the attack is difficult to carry out in real-world settings“.
  • “Se espera que se realicen cambios en la aplicación de RSA en poco tiempo”. Difícilmente van a cambiar RSA, amigüito. Sí van a parchear OpenSSL, pues parece que es relativamente fácil hacer más resistente el software a este tipo de ataques, añadiendo sal.
    • An OpenSSL official, who asked that his name not be published, said engineers are in the process of pushing out a patch“.

¿Entonces es peligroso? Pues depende…

“This is probably not as much of a threat to a server system as it is to a consumer device,” said Todd Austin, one of the scientists who devised the attack. “The place where this would be more applicable would be if you want to attack a Blu-ray player (where) you have an environment where someone is giving you a device that has a private key to protect intellectual property and you have physical access to the device.”

En fin, que otra vez lo mismo. Cuando leo algo, prefiero leerlo con calma y analizar las implicaciones reales. Y si no lo entiendo, pregunto a alguien que sepa más o busco opinión de expertos (como Eloi). Pero parece que es más productivo lanzarse a la piscina y vaticinar -una vez más- el fin del mundo criptográfico.

Read Full Post »

En la línea de Better Gmail 2, pero en esta ocasión aplicado a Google Calendar, encontramos la extensión de Firefox Better GCal. Esta extensión nos permite tunear nuestro calendario favorito con una serie de opciones que, si bien no son muy numerosas, sí resulta bastante interesantes. Entre ellas encontramos la posibilidad de colapsar la cabecera y la barra lateral, para que el calendario ocupe todo el espacio del navegador (muy útil); o la opción de forzar la utilización de una conexión segura SSL para toda la sesión, y no únicamente durante el proceso de autenticación.

Si Google Calendar es vuestro calendario, Better GCal debería ser una extensión obligatoria en vuestro navegador.

Read Full Post »

Older Posts »

A %d blogueros les gusta esto: