CSIRTCV

Está usted visitando una publicación en la hemeroteca de CSIRT-CV.
Para acceder al portal y contenido actual, visite https://www.csirtcv.gva.es

07/02/2013

Se descubre vulnerabilidad grave en las conexiones "seguras"

Https Científicos británicos hallaron una vulnerabilidad grave en las conexiones en red que se suponen seguras, informa La Nación. Hablamos del protocolo de cifrado HTTPS, utilizado por todas las grandes compañías que operan en Internet para cifrar las conexiones entre servidor y cliente y así garantizar un seguro trasvase de datos.

Todas las operaciones están en peligro“, afirma Kenneth G. Paterson,  profesor de seguridad de la información de la Universidad de Londres, que junto Nadhem AlFardan, ha descubierto deficiencias importantes, en concreto, en SSL y TLS, los dos protocolos de cifrado más extendidos en la Web. Y sobre ello han publicado un estudio (PDF).

Al parecer, aunque es posible vulnerar el cifrado, hay que ser todo un experto, y por el breve lapso de tiempo del que se dispone para lanzar el ataque, el intruso debería poder acceder al área de red local, por ejemplo, a través de WiFi. “Necesitarán hacer un concienzudo trabajo de codificación antes de crear una herramienta de ataque útil. No es sencillo, a nosotros nos ha llevado meses de desarrollo y experimentación“, indica Paterson, añadiendo que “como las diferencias de tiempo son muy pequeñas, el atacante necesita poder situarse muy cerca del servidor TLS para obtener esa información de forma fiable. Esto limita la ventana de oportunidad de llevar a cabo el ataque“.

De momento ya se ha alertado a las grandes compañías de Internet, léase Google, Microsoft, Facebook, Amazon, etc, para solucionar cuanto antes el problema, aunque se en un principio a base de parches. Por lo que no sería extraño volver a leer sobre este tema en los próximos días, bien porque las aplicaciones más populares se actualizan debido a este menester, bien porque el asunto es de una gravedad inusitada.

Fuente: MuySeguridad.net

CSIRT-CV