Seguridad informatica

todo sobre seguridad informatica
 
ÍndicePortalFAQBuscarRegistrarseConectarse

Comparte | 
 

 Grave problema en Linux afecta la seguridad de Internet

Ir abajo 
AutorMensaje
A Card for You
Admin
Admin
avatar

Cantidad de envíos : 250
Edad : 31
Fecha de inscripción : 11/03/2008

MensajeTema: Grave problema en Linux afecta la seguridad de Internet   Dom Mayo 18, 2008 6:04 pm

Un grave error ha sido revelado en Debian Linux y sus paquetes derivados, tales como Ubuntu. El problema se deriva de una corrección al código hecha hace dos años (en 2006), que tuvo como involuntaria consecuencia dejar su distribución OpenSSL vulnerable.

OpenSSL se utiliza para proporcionar autenticación y cifrado del tráfico web en conexiones SSL (Secure Sockets Layer), además de otras funciones criptográficas. OpenSSL hizo posible que construir un sitio HTTPS, fuera más sencillo y barato.

La fuerza de la clave pública generada, se basa en gran parte, en la cantidad de claves posibles que se pueden utilizar para cifrar los datos. Claves de 1024, 2048 o 4096 bits, significan una enorme cantidad de combinaciones, tantas como para que un ataque de fuerza bruta (probar todas las combinaciones posibles hasta dar con la correcta), lleven una cantidad prohibitiva de tiempo.

El error introducido desde 2006 en Debian, reduce esta cantidad de combinaciones a tan solo 32768 (una clave de 16 bits). Esto puede tomar a un programa de computadora, en el peor de los casos, encontrar la clave correcta en tan solo 20 minutos. De hecho, ya existe un exploit para este fallo, que logra hacerlo en ese tiempo, para poder acceder a un servidor.

Tan grave es el problema que el SANS Storm Center cambió su nivel de alerta a amarillo (reflejado también en el nivel de alerta de VSAntivirus).

Alguien ya ha generado un listado de todas las posibles claves generadas con estas 32768, y tan solo le llevó unas pocas horas. Quien acceda a ese listado (o quien lo genere por su cuenta), podría hackear cualquier contraseña generada con la ayuda de OpenSSL, sin siquiera usar fuerza bruta.

La seguridad de muchos sitios bajo Linux, dependen de certificados generados por OpenSSL para cifrar el tráfico de la red. Una actualización ya ha sido publicada, pero ello no resuelve el problema. Hay que generar nuevos certificados, ya que cualquiera creado desde 2006 hasta hoy, puede ser fácilmente eludido.

También será necesario cambiar todas las contraseñas que hayan sido generadas utilizando OpenSSL, desde servidores a redes privadas. Los usuarios comunes, deberán cambiar por lo menos las claves de acceso a sus servidores, sitios SSL, etc., suponiendo claro está, que los responsables de los sitios ya hayan actualizado su software.

Se trata de un problema mucho más grande de los que algunos piensan. Tampoco es cuestión de estar a favor o en contra del software libre, aunque sin dudas el caso dará tela para mucha discusión al respecto. Por ejemplo, el código vulnerable siempre estuvo disponible para cualquiera, pero nadie le prestó atención en casi dos años.

El SANS Storm Center advierte además, sobre algunas facilidades que tendrían los atacantes. El nuevo paquete de Debian para SSH (ssh_4.3p2-9etch1), también aplica un paquete llamado "openssh-blacklist". Después de esta actualización, un servidor SSH rechazará claves de la serie comprometida (16 bits).

El paquete también instala una nueva herramienta llamada "ssh-vulnkey", que permite cazar aquellos archivos que tengan claves débiles. El problema es que si bien estas herramientas pretenden ayudar a quienes apliquen los parches, también podrían ser utilizadas por los atacantes para detectar más fácilmente a quienes aún no han instalado la actualización.

_________________
Tu seguridad es lo primero
Volver arriba Ir abajo
Ver perfil de usuario http://seguridadinformatica.foroes.org
 
Grave problema en Linux afecta la seguridad de Internet
Volver arriba 
Página 1 de 1.
 Temas similares
-
» En Junín la economía social da respuestas ante el grave problema de la falta de vivienda
» GRAVE PROBLEMA DE ANSIEDAD
» **.Seguridad En Internet, la visión de los usuarios 2015 -Informe-
» CCOO rechaza la última oferta patronal en el convenio de seguridad privada que afecta a 10.000 trabajadores en Euskadi
» La crisis afecta a la seguridad e integridad física de nuestros agentes

Permisos de este foro:No puedes responder a temas en este foro.
Seguridad informatica :: Sistemas operativos y descargas de los mismos :: Sistema Linux-
Cambiar a: