Skip to Content

AOL Tech

ssl posts

Superan el reto de Cloudflare y prueban que es posible robar llaves SSL de un servidor con Heartbleed

La gente de Cloudflare admitió desde un principio que el bug Heartbleed era bastante grave, sin embargo, dijo que robar las llaves SSL de un servidor afectado por el bug sería muy difícil, y casi imposible de hacerlo en los servidores NGINX. Para demostrar lo dicho, crearon un reto que consistían en que investigadores intenten robar sus llaves de cifrado de su servidor, y dicho y hecho, ha sucedido.

El bug Heartbleed de OpenSSL causa apuros en internet

Un preocupante bug ha sido descubierto en el paquete de seguridad OpenSSL, y debido a que funciona aprovechando un problema del sistema conocido como "heartbeat" de TLS, ha sido bautizado como Heartbleed. Para explicarlo en términos que podamos entender el común de los geeks, basta con decir que la vulnerabilidad se basa en pedir a un servidor una respuesta de su "latido", con un paquete que dice tener 64 kilobytes, pero que en realidad incluye sólo un kilobyte. De esta manera, el servidor regresa 63 KB de su memoria, permitiendo que un hacker obtenga pedazos de información hasta conseguir detalles tan valiosos como nombres de usuarios, contraseñas y llaves de cifrado, sin dejar rastro de ningún tipo.

Google cifrará la información entre sus centros de datos y también la conexión de Gmail

Google cifrará todos los datos entre sus centros de datos y también la conexión de Gmail
Aunque la gran mayoría de nosotros seguramente opina que nuestros mundanos correos no requieren de la más alta protección de cifrado disponible actualmente, Google piensa lo contrario y por eso protegerá nuestros datos precisamente con eso. A partir de hoy todas las conexiones a Gmail usarán HTTPS por defecto, para mantener una comunicación segura entre el navegador de un ordenador o dispositivo móvil y los servidores del gigante de internet. En realidad esto no es totalmente nuevo, porque desde el año pasado Google ha ofrecido la opción de usar SSL al conectarse a su servicio de correo, pero esta era una opción que podía ser desactivada fácilmente por el usuario.

Actualización de OS X parcha un grave agujero de seguridad y trae nuevas opciones

Actualización de OS X parcha un grave hueco de seguridad y trae nuevas opciones
La semana pasada se publicó información que confirmaba un grave agujero de seguridad en la biblioteca SSL de iOS y Mac OS X, y aunque la actualización para el sistema operativo móvil apareció de inmediato, hemos tenido que esperar hasta hoy para que llegue a Mac. La versión 10.9.2 de Mavericks no sólo parcha este problema que afectaría a Safari, FaceTime, iMessage, Twitter, Calendar, Mail, iBooks y otras aplicaciones, sino que también trae algunas mejoras interesantes (por eso posiblemente se demoró Apple en publicar el parche).

Por ejemplo, el software ahora permite hacer y recibir llamadas de audio por medio de FaceTime, bloquear contactos de iMessage, mejora la compatibilidad de Mail al usar Gmail y otros tantos detalles adicionales que afectan a varias aplicaciones y servicios del sistema operativo. Por lo tanto, te recomendamos actualices lo antes posible, aunque debes asegurarte de hacerlo durante un tiempo libre, porque es necesario reiniciar el ordenador y esperar unos minutos para que se complete la instalación.

Para comprobar si tu ordenador OS X es vulnerable a este problema con SSL, puedes visitar el sitio gotofail.com desde Safari (la vulnerabilidad ha sido bautizada como "Go To Fail" debido a un error con la instrucción "goto").

[Vía MacRumors]

Leer - Apple
Leer - GoToFail

Apple corrige de tapadillo un problema grave de verificación con la actualización iOS 7.0.6

Apple corrige de tapadillo un problema grave de verificación con la actualización iOS 7.0.6
Si cuentas en tu poder con un dispositivo iOS ya puedes ir volando a actualizar el software puesto que Apple acaba de poner a disposición de los usuarios la actualización 7.0.6 de la plataforma que, como veremos, no es ligera precisamente. Resulta que se ha detectado que las versiones previas de iOS debido a un fallo detectado ahora, no se conectaban mediante una verificación SSL facilitando los ataques de hackers, o como podemos leer en las notas de Apple, permitiendo que los atacantes "capturen o modifiquen datos en una sesión iniciada y protegida por SSL/TLS". ¿Por qué es grave y en qué momentos los dispositivos quedaban más al descubierto? La gran amenaza residía al conectarse a redes abiertas o no conocidas por el usuario, donde la vulnerabilidad quedaba más al descubierto.

No sabemos muy bien si este agujero de seguridad ha sido descubierto dentro de casa o como consecuencia de ataques, pero en cualquier caso, ya ha sido solucionado con esta actualización.

Leer - Apple (1)
Leer - Apple (2)

Mozilla ve en los favicons de la barra de direcciones un riesgo y los eliminará de Firefox

Mozilla ve en los favicons de la barra de direcciones un riesgo y los eliminará de Firefox
Quién nos iba a decir que los favicons de la barra de direcciones, iban a acabar dándonos quebraderos de cabeza... pues por lo visto, Mozilla y la casa está tan convencida del hallazgo que los ha borrado de un plumazo de la versión experimental de su querido navegador. El problemilla radica en que algún sitio con malas intenciones podría optar por usar un candado o una imagen similar para hacernos creer que estamos dentro de un área segura con cifrado SSL. Así las cosas, desde mediados de julio, Firefox mostrará tres posibles opciones: un globo terráqueo para cualquier web genérica, un candado verde en el caso de sitios seguros SSL que hayan sido validados o uno gris para aquellos sin validar. De momento esto solo afecta al icono que aparece junto a la barra de direcciones, quedando intactos los de las pestañas -un alivio si, como nosotros, de vez en cuando te encuentras con que llevas abiertas 33 pestañas diferentes en una misma ventana.

[Vía Mozilla Dev Blog]

Google termina discretamente con el experimento False Start

Google termina discretamente con el experimento False Start SSL
Allá por septiembre de 2010, Google comenzó a experimentar con una nueva función de Chrome bautizada como False Start, que pretendía recortar la latencia hasta en un 30%. Lo cierto es que el retraso existente al crear una conexión segura nunca ha supuesto un incordio para la mayoría de los usuarios, pero aquella pausa (que podía alcanzar hasta varios cientos de milisegundos) era un auténtico quebradero de cabeza para los ingenieros de Mountain View.

Fue con este caldo de cultivo como dieron comienzo las primeras pruebas con False Start que por desgracia se ha mostrado incompatible con un considerable número de páginas web, y en especial en aquellas con cifrado de hardware bautizado como SSL Terminators. En este sentido, Chrome contaba con una lista negra de páginas prohibidas, pero en Google se han dado cuenta que mantenerla era bastante complejo.

Así las cosas y pese a ser compatible con el 99% de las páginas web, Google ha decidido que False Start debe morir con la versión 20 de Chrome. El cambio pasará desapercibido para el grueso de los usuarios, pero finalmente sucederá y los esfuerzos de los de Mountain View en este sentido han resultado baldíos. Una pena.

[Vía Ars Technica]

Twitter incorpora el protocolo HTTPS para que duermas tranquilo

Un pequeño cuadro de verificación para tu ratón, un gran paso para la seguridad de tu cuenta de Twitter. El sitio de microblogging, venerado y odiado a partes iguales, dispone desde ahora de una nueva opción que permite a los usuarios activar el uso de HTTPS (Protocolo seguro de transferencia de hipertexto). Si aún así todo esto te sigue sonando a idioma no identificado, basta con que te quedes con que si marcas esta casilla, tus mensajes se transmitirán a través de un canal SSL cifrado y resistente a ataques variados. Por supuesto esto no significa que vayas a estar exento de algún que otro "susto" si no tienes cuidado con tu contraseña o sueles dejar abierta la sesión en ordenadores que no te corresponden. ¿Y lo tranquilo que vas a dormir por las noches sabiendo que nadie podrá inmiscuirse entre tus ansias de compartir qué tal te ha salido tu plato favorito y la ciberesfera?

Usan varias PlayStation 3 para hackear SSL


Se puede decir lo que se quiera sobre el éxito o fracaso de la PS3 como consola, sin embargo su hardware es la envidia de cualquier aparato en el mercado. Desde su lanzamiento han usado clusters de PS3 para realizar cálculos gigantescos, y esta vez son unos hackers que dicen haber roto SSL, con 200 consolas. Aprovechándose de un error en el algoritmo criptográfico MD5 (usado para firmas y certificados digitales), el grupo creó un Certification Authority (CA) que aprueba sus propios certificados. Eso quiere decir que al visitar páginas que supuestamente son seguras, podríamos estar visitando sitios de hackers. No se sabe mucho sobre los detalles del hack, y aseguran que llevaría al menos seis meses duplicar el procedimiento. Mientras tanto, hay tiempo suficiente para usar un mejor algoritmo y actualizar los certificados existentes. Otros hackers intentaron hacer lo mismo con unas Wiis, pero no había suficiente espacio para todas las Balance Boards.

[Vía ZD Net]
[Artículo en inglés]




    Noticias AOL