Feeds:
Entradas
Comentarios

Posts Tagged ‘SSL’

Supongo que a estas alturas conoceréis BEAST, y cuáles son sus riesgos.

A continuación, una demo que muestra cómo aprovechar BEAST para comprometer una cuenta de PayPal.

Anuncios

Read Full Post »

Hoy os presento una nueva extensión de Firefox relacionada con la seguridad, de nuevo con SSL/TLS. Certificate Patrol se encarga de monitorizar los certificados utilizados en las conexiones supuestamente seguras que establecemos con nuestro navegador, así como los cambios en los mismos.

Esta extensión detectará e informará, por ejemplo, cuando un certificado haya sido renovado, cuando la autoridad de certificación que firma un certificado dado cambie, etc. Todas estas situaciones (que se explican en detalle en la página oficial), podrían ser inocuas… o no. La extensión nos informará, y hará una estimación del riesgo que supone el cambio, dejando al usuario la decisión final sobre cómo actuar.

Nunca se es suficientemente precavido… sobre todo en vista de acontecimientos como el famoso caso del “Comodogate”.

Read Full Post »

Rescato la serie de extensiones de Firefox para recomendar una que, dados los tiempos que corren, resulta imprescindible: HTTPS Everywhere.

De la mano de nada más y nada menos que la gente de la Electronic Frontier Foundation y el proyecto Tor, esta extensión fuerza la utilización de SSL/TLS en una serie de dominios comunes que, aún cuando permiten el uso de esta modalidad, no lo implementan para todas las peticiones. Lo mejor es la facilidad de uso, pues esta extensión actúa de forma completamente transparente para el usuario, que no deberá preocuparse de nada.

HTTPS Everywhere

HTTPS Everywhere

Read Full Post »

Y vuelta a la carga. Ayer leí en The Register la noticia sobre una nueva vulnerabilidad en OpenSSL.

Resumiendo mucho (muuuuuuuuucho), se trata básicamente de un ataque lateral en el que, mediante la inyección de fluctuaciones de alimentación eléctrica, provocan situaciones “rarunas” en el procesador durante los cálculos del algoritmo. Si alguien está interesado en saber más sobre este tipo de ataques, que escarbe un poco por el blog de Eloi, que de esto sabe un rato largo.

Mientras lo leía, estaba pensando en las dificultades de llevar a la práctica este tipo de ataques contra un servidor real. No sólo necesitas acceso físico, sino acceso libre a los componentes electrónicos del hardware, y mucho tiempo. No obstante, los investigadores se han tirado inyectando fallos durante 104 horas para obtener una clave de 1024 bits…

Pues bien, como me esperaba, no ha tardado en desatarse nuevamente el sensacionalismo. En menéame podemos leer que “logran romper cifrado RSA de 1024 bits“. ¡Toma ya! Y sin vaselina. Consultando la fuente (me niego a enlazarla; si alguien le interesa, está en la entrada de menéame), podemos leer perlas como las siguientes:

  • Esto se logró variando los niveles de tensión enviados al destinatario para generar cifrados defectuoso“. ¿Variando los niveles de tensión enviados al destinatario? Dicho así, cualquiera pensaría que cambian una codificación Manchester por Manchester diferencial. Los investigadores, en realidad, inducen fluctuaciones en la fuente de alimentación. No se envía nada.
    • The university scientists found that they could deduce tiny pieces of a private key by injecting slight fluctuations in a device’s power supply as it was processing encrypted messages“.
  • Esto hace tambalear uno de los pilares del RSA“. ¡Arrepentíos!
    • An OpenSSL official […] stressed the attack is difficult to carry out in real-world settings“.
  • “Se espera que se realicen cambios en la aplicación de RSA en poco tiempo”. Difícilmente van a cambiar RSA, amigüito. Sí van a parchear OpenSSL, pues parece que es relativamente fácil hacer más resistente el software a este tipo de ataques, añadiendo sal.
    • An OpenSSL official, who asked that his name not be published, said engineers are in the process of pushing out a patch“.

¿Entonces es peligroso? Pues depende…

“This is probably not as much of a threat to a server system as it is to a consumer device,” said Todd Austin, one of the scientists who devised the attack. “The place where this would be more applicable would be if you want to attack a Blu-ray player (where) you have an environment where someone is giving you a device that has a private key to protect intellectual property and you have physical access to the device.”

En fin, que otra vez lo mismo. Cuando leo algo, prefiero leerlo con calma y analizar las implicaciones reales. Y si no lo entiendo, pregunto a alguien que sepa más o busco opinión de expertos (como Eloi). Pero parece que es más productivo lanzarse a la piscina y vaticinar -una vez más- el fin del mundo criptográfico.

Read Full Post »

En la línea de Better Gmail 2, pero en esta ocasión aplicado a Google Calendar, encontramos la extensión de Firefox Better GCal. Esta extensión nos permite tunear nuestro calendario favorito con una serie de opciones que, si bien no son muy numerosas, sí resulta bastante interesantes. Entre ellas encontramos la posibilidad de colapsar la cabecera y la barra lateral, para que el calendario ocupe todo el espacio del navegador (muy útil); o la opción de forzar la utilización de una conexión segura SSL para toda la sesión, y no únicamente durante el proceso de autenticación.

Si Google Calendar es vuestro calendario, Better GCal debería ser una extensión obligatoria en vuestro navegador.

Read Full Post »

¡Que viene el lobo!

Como todo suceso cíclico, el cometa SSL-ha-sido-roto-oh-dios-mío-vamos-a-morir vuelve a asomar la cabeza por los agregadores de noticias. Y, como en las n ocasiones anteriores, hay que coger con pinzas las afirmaciones que se leen por ahí.

La recomendación más razonable, por supuesto, es que sólo hagáis caso de las cosas que leáis en sitios con una reputación razonable. Digamos que, en la escala graduada desde los sitios serios (como Hispasec o SBD, por poner dos ejemplos castellanoparlantes) hasta los telediarios de la televisión (toda una oda a la inexactitud), hay toda una escala de grises que combina información con desinformación.

El problema es aquel chaval que, al escuchar campanas sin saber dónde, y con buena o mala intención, se aventura -blog en mano- a vaticinar el fin de la PKI. Vale que hay debilidades, pruebas de concepto, y aplicaciones muy específicas. Pero de ataques prácticos… poco o nada.

Así que nada, dormid tranquilos, no saquéis la pasta del banco para meterla debajo del colchón, y pensad que, en el peor de los casos, siempre nos quedará la artillería pesada.

Read Full Post »

Gmail y SSL

Ya sabemos que meter las narices donde no nos llaman está muy feo, casi tanto como un paper escrito en Comic Sans. Pero también sabemos que, aunque confiar en la naturaleza humana puede estar bien en determinadas circunstancias, cuando hablamos de seguridad informática, suele ser más efectivo confiar en la criptografía fuerte.

Por eso, aquí os dejo un pequeño truco para habilitar el cifrado completo -mediante SSL– de toda la sesión de Gmail, y no únicamente del proceso de verificación de contraseña, como está configurado por defecto. Seguramente la mayoría de vosotros ya conozcáis este truco, pero como aquí no lo he comentado nunca, allá va.

Simplemente hay que acceder a la configuración de la cuenta y, en la primera pestaña (“General“), abajo del todo, veremos una selección junto al epígrafe “Conexión del navegador“. Como imaginaréis, hay que seleccionar la primera opción: “Usar siempre https“.

Configurando Gmail para usar SSL

Configurando Gmail para usar SSL

Read Full Post »

Older Posts »

A %d blogueros les gusta esto: