Falla
de encriptación exigida por el gobierno de EEUU para que pueda espiar la NSA,
puso (y todavía pone) en peligro las claves de las cuentas bancarias de todo el Mundo .del diario el Comercio de Perú y de la Wikipedia.
Falla
de encriptación pone en riesgo a millones de PC y móviles y es por orden de
EEUU para que pueda espiar la NSA.
http://elcomercio.pe/tecnologia/actualidad/falla-encriptacion-pone-riesgo-millones-pc-y-moviles-noticia-1795768
VIERNES 06 DE MARZO
DEL 2015 | 10:59
Microsoft y Apple han señalado que
sus navegadores están en la lista de afectados y planean lanzar pronto una
actualización
Falla de
encriptación pone en riesgo a millones de PC y móviles
(Foto: AP)
Argentina, La
Nación/GDA
La
vulnerabilidad, que data desde la década del 90, se presenta como una falla que
los especialistas han denominado FREAK (Factoring RSA
Export Keys), una modalidad
exigida por el gobierno estadounidense que obligaba a las conexiones web
seguras a optar por sistemas de encriptación más débiles.
Nota del autor del blog: es por orden de EEUU para que
pueda espiar la NSA , es clarísimo ¿no?
Esta
exigencia de Estados Unidos detallaba que todo software
destinado a mercados extranjeros debía utilizar claves de encriptación de 512
bits.
Por aquel
entonces, este requerimiento era considerado seguro, pero con los actuales
equipos se puede vulnerar la
comunicación en un par de horas, como señala un reporte de la compañía TrendMicro.
Si bien
luego se implementaron diversas versiones de protocolos
más robustos, como TLS y SSL, utilizados tanto en las transacciones de
sitios de comercio electrónico como en diversas plataformas y servicios online,
estas prestaciones aún le dan soporte a las exigencias gubernamentales de Estados Unidos.
FREAK fue
descubierto por el especialista en seguridad informática Karthikeyan Bhargavan, al advertir que un atacante
podría interceptar una comunicación HTTPS entre los usuarios y servidores para
forzar a la conexión a utilizar la vieja
encriptación de 512 bits, exigida por el gobierno estadounidense.
Un reporte
elaborado desde el sitio Freak Attack, creado
para realizar un seguimiento del incidente, señala que el 36 por ciento de los sitios seguros están expuestos a esta
falla.
FREAK
afecta a los principales navegadores web, tanto para dispositivos móviles
como para computadoras personales. Microsoft
advirtió que su browser Internet Explorer
está entre los afectados, y planea lanzar una actualización de seguridad,
mientras que Apple anunció una actualización
para la próxima semana.
La
vulnerabilidad también está presente en las diversas versiones de los navegadores web de Google, además de los browsers
de Opera y BlackBerry.
Los
especialistas recomiendan que los usuarios actualicen
sus navegadores con la última versión disponible junto a los parches de seguridad,
y advierten a los administradores de los servidores web a realizar los ajustes
correspondientes para deshabilitar el
viejo sistema de encriptación de 512 bits.
,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,
FREAK
http://en.wikipedia.org/wiki/FREAK
De Wikipedia, la enciclopedia libre
FREAK
("factoring RSA Exportar claves") es una seguridad explotar una debilidad criptográfica en la SSL TLS / protocolos introdujeron varias décadas
antes, para el cumplimiento de las regulaciones de
exportación de Estados Unidos.
Se trataba,
limitando software exportable a utilizar
sólo los pares de claves públicas con RSA módulos de 512 bits o menos, con la
intención de permitir que se rompen fácilmente por la NSA , pero no por otras organizaciones con recursos de
computación menores.
Sin embargo,
para 2015, el aumento de la potencia de cálculo
significaba que podían ser rotas por
cualquier persona con acceso a recursos de computación relativamente modestos
que utilizan la conocida Número Cedazo de Campo de
algoritmo, usando tan poco como $ 100 del cloud computing servicios. En
combinación con la capacidad de un hombre-en-el-medio para manipular la inicial
de negociación conjunto de cifrado entre los puntos extremos de la conexión,
esto significaba que un
hombre-en-el-medio, con sólo una modesta cantidad de cómputo podría romper el
débil clave de 512 bits para ese sitio, podría romper la seguridad de
cualquier sitio web que permitía el uso de claves de grado de exportación de
512 bits. Mientras que el exploit fue descubierto en
2015, sus vulnerabilidades subyacentes habían estado presentes durante
muchos años, que se remonta a la década de 1990.
La falla fue
encontrado por los investigadores de IMDEA , INRIA y
Microsoft Research . [1] El ataque FREAK tiene el identificador CVE CVE-2015-0204. [2]
Software y dispositivos
Vulnerable incluyen de Apple 's navegador web Safari
, el navegador por defecto en Google 's sistema operativo para teléfonos Android , y OpenSSL . [3] [1] Sitios afectados por la
vulnerabilidad incluidos los EE.UU. sitios web del gobierno federal fbi.gov,
Whitehouse. gov y nsa.gov, [4] , con alrededor del 36% de HTTPS
utilizando sitios web analizados por un grupo de seguridad que aparece como
vulnerables a la explotación. [5] Con base en el análisis de geolocalización usando IP2Location LITE, el 35% de los
servidores vulnerables se encuentran en EE.UU.. [6]
Los informes
de prensa de que el exploit han descrito sus efectos como "potencialmente
catastrófico" [7] y una " consecuencia no intencional
"de los esfuerzos del gobierno de Estados Unidos para controlar la
propagación de la tecnología criptográfica . [4]
Microsoft
también ha declarado que su Schannel aplicación
de cifrado de capa de transporte es vulnerable a una versión del ataque FREAK,
en todas las versiones de Microsoft Windows. [8]
El ID CVE para este problema es CVE-2015-1637.
[9]
A partir de
marzo 2015 , los vendedores estaban en el proceso de liberación de un nuevo
software que arreglar el defecto. [4] [5]
No hay comentarios:
Publicar un comentario