Un equipo de Hackers Rebeldes de Seguridad (Investigadores y académicos), con la ayuda de 200 armas de tipo PS3, lo equivalente a 8000 cores normales o 20000$ de tiempo Amazon EC2, han roto el SSL (Secure Socket Layer), uno de los principales protocolos de Internet. Este ataque es posible por un fallo en el MD5. Esto compromete la seguridad de toda la galaxia del software.Recopilaron alrededor de 30000 certificados aceptados por Firefox, 9000 firmados con MD5. El 97% de los certificados de rapidssl. Crearon un certificado falso y posteriormente le transfirieron una firma. La tarea duró unos 2 días, usando las 200 PS3. Como ventaja tenían el conocimiento del contenido del certificado a firmar por RapidSSL. Y su trabajo fue predecir dos variables: El número de serie y el timestamp.
Ahora, desde que tienen el control de los certificados, han cambiado los datos para convertirse ellos mismos en una autoridad de certificación intermedia. Esto les da autoridad para firmar cualquier certificado que quieran. Todos estos certificados ‘validos’ han sido firmados usando SHA-1.
Se puede visitar su web de demostración, solo hay que poner el reloj de nuestro ordenador a una fecha anterior a Agosto del 2004. Esto es sólo una medida de seguridad para el ejemplo, pero funcionaría de la misma manera para cualquier certificado que no haya expirado.
En un intento de arreglar esto, las autoridades de certificación usan ahora SHA-1 para firmar y tanto Microsoft como Mozilla han añadido los certificados del "Rogue Team" a la lista negra de sus buscadores, pero... suficiente? :s
Esta es la web del proyecto y para mas información este es un documento mas detallado (ambos en inglés).
"Estamos condenados."
C-3PO
C-3PO
![[FSF Associate Member]](http://2.bp.blogspot.com/_gixYff4A-CA/Sa8WEOlon1I/AAAAAAAAA2c/A_0PWScwVb0/s400/getButton.png){kind=small}
No comments:
Post a Comment