Si algunos de nuestros foros, manuales, ALDOS, paquetería o proyectos te han resultado de ayuda, apreciaremos mucho nos apoyes con un donativo.

Crisis de SSL obligará a todos los navegadores a actualizarse.

De acuerdo a Jacob Applebaum y una publicación en la bitácora oficial de Mozilla, Comodo, la entidad emisora de certificados SSL, pudo haber visto comprometida su seguridad. Como consecuencia, el crimen organizado pudo haber obtenido 9 certificados de sitios de Internet existentes, incluyendo addons.mozilla.org. Hasta el momento se carece de una declaración oficial respecto de si la situación fue ocasionada por insuficientes verificaciones durante el procesos de certificación o por una falla en la infraestructura de Comodo.

Sin embargo, lo que en principio parecía ser solo un problema para Comodo, ahora está obligando a los desarrolladores a tomar medidas preventivas y publicar actualizaciones. De otro modo, el crimen organizado podría, por mencionar un ejemplo, redireccionar a los usuarios a un complemento para Firefox falso y ofrecer en su lugar complementos infectados para instalar, considerando que la página fraudulenta se haría pasar por un servidor válido gracias al certificado para addons.mozilla.org, sin que los usuarios se diesen cuenta y sin alertas de parte de Firefox. Ataques similares podrían ocurrir en bancos en línea.

La semana pasada Google publicó en respuesta Chrome 10.0.648.151, mientras que Firefox hizo lo propios con Firefox 4, 3.6.16 y 3.5.18. Internet Explorer está trabajando al respecto, sin que hasta el momento se haya publicado alguna medida de seguridad y se desconoce lo que esté ocurriendo con Opera y Apple Safari.

Todo el incidente ha servido para darle fuerza al argumento de que el concepto total de SSl y que los usuarios confíen en autoridades certificadoras, es tan solo un castillo de barajas.

Fuente de información: The H-Open.


Atención: Salvo que se indique lo contrario, la licencia del texto de este documento es Creative Commons Reconocimiento 2.5, mediante la cual usted tiene permitido copiar, modificar, comunicar y distribuir el contenido de este texto, de manera total o parcial, y publicarlo o difundirlo en cualquier otro sitio de Internet o medio de comunicaciòn, siempre y cuando incluya o cite (1)el nombre de este sitio de Internet, (2)enlace permanente de este documento, (3)nombre del autor y (4)la misma licencia de distribución.

Opciones: Imprimir | Recomendar | Enlace permanente

Twitter Facebook Google Bookmarks Bitacoras.com Wikio Menéame Technorati Bloglines Digg Yahoo Buzz

Seguimientos (Trackback)

URL de seguimiento para esta entrada:
http://www.alcancelibre.org/trackback.php/actualizarse-crisis-ssl-obligara-actuali
  • Crisis de SSL obligará a todos los navegadores a actualizarse.
  • 1comentarios
  • Crea cuenta nueva
Agregar comentario

Los siguientes comentarios son de la persona que los haya enviado. Este sitio se deslinda de cualquier responsabilidad respecto de las opiniones expresadas por los participantes en nuestros foros y secciones de comentarios, y el hecho de publicar las mismas no significa que se esté de acuerdo con éstas.

  • Crisis de SSL obligará a todos los navegadores a actualizarse.
  • Escrito por:sangrenegrv el  29/03/2011, 15:15

Muy interesante este muchacho iraní, aparentemente, ya ha presentado pruebas de su autoría sobre el ataque a comodo, para leer acerca del procedimiento y otras pruebas que ha mostrado al mundo, como la clave digital de addons.mozilla:

http://pastebin.com/u/ComodoHacker

Según lo que ha comentado, tiene 21 años , empezó aprogramar qbasic a los 9 años y  a aprender criptografía a los 13. A esa edad de 13 años empezó con el hacking en la época del IIS 4 exploit, conoce además:

  • SQL injections, remote file include, local file include, etc. etc. etc.
  • Es experto en analisis binario en Windows, como análisis de malware ,descubrir vulnearbilidades en binarios , explotar vulnerabilidades, heap overflows, stack overflows, double free, vtable overwrite, etc.

 

Todo un genio este tipo, dice que el solo vale por 1000 hackers y al parecer, tiene razón.