Beast, el exploit para quebrar SSL/TLS


Dos investigadores especializados en seguridad aseguran haber encontrado la forma de romper la encriptación SSL/TLS ampliamente utilizada para garantizar la fiabilidad y privacidad de los datos intercambiados entre navegadores y servidores.





Los investigadores en cuestión, Thai Duong y Juliano Rizzo, demostraron su descubrimiento el 23 de septiembre en el marco de la conferencia de seguridad Ekoparty.

Según estos expertos, las dos últimas versiones del protocolo criptográfico TLS (la 1.1 y la 1.2) son invulnerables al exploit, pero la mayoría de websites, VPN y servicios de mensajería instantánea en operación utilizan la versión 1.0, que sí se ve afectada, por su compatibilidad con la amplia mayoría del resto de tecnologías web.

El exploit, conocido como Beast, se basa en un código de explotación JavaScript que trabaja con un sniffer de red para desencriptar las cookies que transportan las credenciales de los usuarios para acceder a las cuentas.

Según Duong y Rizzo, Beats es el primer ataque que realmente desencripta las comunicaciones https, dado que el resto de amenazas SSL se han basado por lo general en el robo de identidad de sitios certificados como seguros.

Fuente:
Por Marta Cabanillas
http://www.csospain.es/



Otras noticias de interés:

Internet Explorer 6 y 7 vulnerables a nuevo exploit
Este fin de semana se ha publicado online un exploit para los navegadores IE6 e IE7. De momento no está muy desarrollado, pero los expertos creen que habrá una versión funcional peligrosa en las próximas semanas....
GuayanaLug: 1er Evento Regional Tecnológico Software Libre para Todos
Los amigos del Grupo GuayanaLug nos ha invitado a participar en el 1er Evento Regional Tecnológico Software Libre para Todos, que se realizará en la ciudad de Puerto Ordaz, Estado Bolívar....
¿ Que es DP2PFTP ?.
DP2PFTP (Distributed Peer 2 Peer File Transfer Protocol) es el nombre del nuevo protocolo que dará origen a nuevas redes de intercambio de contenidos....
EEUU piden investigar aplicaciones móviles
Un senador demócrata de Nueva York ha pedido a la Comisión Federal del Comercio (FTC) de EEUU que investigue las aplicaciones de los teléfonos móviles de Apple y Google que permiten acceder a agendas y fotos privadas de usuarios....
Anuncian la primera red de cifrado cuántico
Indican que sería imposible de vulnerar sin destruir los datos, durante octubre será lanzada la primera red funcional con cifrado cuántico, con lo que comenzaría una nueva era para las comunicaciones seguras....
¿Port Knocking... ofuscación o capa de seguridad?
El objeto de este artículo es recordar el concepto de Port Knocking y sus implicaciones de seguridad para en un posterior artículo reflexionar sobre Single Packet Authorization (SPA). Port Knocking no es un ingenio nuevo, lleva con nosotros desde 2...
Nueva vulnerabilidad en Google Chrome
A escazos 2 días de su lanzamiento ya ha aparecido otro bugs, según reporta securityfocus.com, Chrome permite la descarga de archivos arbitarios sin permiso del usuario....
Ofuscación de contenido malicioso en tráfico HTTP
El US-CERT (United States Computer Emergency Readiness Team), publicó información sobre una vulnerabilidad relacionada con el manejo de la codificación Unicode, que permitiría a un atacante remoto esconder tráfico HTTP malicioso. ...
Metal Gear: proyecto para control de redes sociales
Anonymous ha destapado el proyecto Metal Gear del ejército de Estados Unidos, que pretende construir identidades falsas en Internet con el fin de difundir propaganda. Lo hará con la ayuda un 'software' que creará perfiles en Facebook o Twitter par...
Dvorak: "Internet Explorer ha sido el peor error de Microsoft"
El observador de PC Magazine, John Dvorak, no duda en calificar el navegador Internet Explorer como el mayor, y más costoso, error cometido por Microsoft en su historia. Más aún, Dvorak no entiende cómo es posible que Microsoft continúe perdiend...

Brindanos
un o una


Redes Sociales

Publicidad


Gana Bitcoins desde tu casa

Categorías


Planeta Vaslibre

Blog Roll




Nube de tags

  • anonimato
  • anonimo
  • antivirus
  • apache
  • beast
  • blog
  • bsd
  • bug
  • centos
  • chrome
  • cifrado
  • computer
  • debian
  • exploit
  • exploits
  • fedora
  • fice
  • firefox
  • forense
  • freebsd
  • gentoo
  • github
  • gnome
  • gnu
  • gpl
  • gtk
  • hack
  • hacking
  • hosting
  • informatica
  • internet
  • isos
  • libre
  • licencias
  • linux
  • linuxmint
  • lxde
  • micros
  • mint
  • mit
  • mozilla
  • mysql
  • noticia
  • opensource
  • pgp
  • php
  • quebrar
  • sabayon
  • seguridad
  • ssl
  • system
  • tecnologia
  • thunar
  • thunderbird
  • tls
  • tor
  • troyanos
  • tware
  • ubuntu
  • underground
  • vaslibre
  • virus
  • viserproject
  • vivaldi
  • vulnerabilidades
  • web
  • website
  • windows
  • xanadu
  • xfce
  • xombra