Web BizarroWeb Bizarro

Suscríbete a nuestro Newsletter

X

Únete a nuestra lista de correos para recibir semanalmente actualizaciones de nuestro contenido.

Falla de seguridad afecta a grandes marcas

Falla de seguridad afecta a grandes marcas 10.MAR.15

Gianfranco Lemmo
Fundador WebBizarro

FREAK (Factoring attack on RSA-EXPORT Keys) permite a lo hackers robar y espiar datos de las conexiones cifradas SSL y TTL, métodos de cifrado utilizados por bancos, gobiernos y en general compartir información con un alto riesgo de ser "hackeada". En un principio la brecha solo existía en los sistemas Android e iOS, pero ahora Microsoft a confirmado que también existe este problema de seguridad en Windows.

El problema principal que plantea esta vulnerabilidad es un agujero de seguridad que permite a los atacantes romper con la seguridad SSL / TLS. Quiere esto decir que un atacante puede solicitar de forma remota a nuestro ordenador un downgrade de cifrados SSL y OpenSSL para hacer caer el nivel de seguridad en el intercambio de datos y, por otra parte, hacer un ataque Man-in-the-middle, lo que definitivamente dejaría la información que intercambiamos con sitios web al descubierto.

El error se sabe que existe en la aplicación TLS de OpenSSL (antes de la versión 1.0.1k), y en SecureTransport de Apple. (OpenSSL es la implementación de código abierto de TLS / SSL que nos dio Heartbleed ; SecureTransport de Apple nos dio Goto fallar .)

La información que nos pueden quitar según esta vulnerabilidad son contraseñas de inicio de sesión, cookies y otro tipo de archivos que revelan información confidencial. Como ya adelantábamos, el sector de la banca está afectado, en algunos casos, por este importante fallo de seguridad. Ahora bien, sólo se puede hacer un ataque explotando este agujero de seguridad si se emplean claves de cifrado RSA de 512 bits, un sistema realmente anticuado, pero que aún se mantiene en millones de sitios web en todo el mundo.

El problema, explicado

Escondido en lo más profundo del código de algunos navegadores web y sitios, hay una version débil de encriptado que puede violarse fácilmente. La única razón por la que existe es por malas políticas estadounidenses que han sido abolidas desde entonces.

En los 90, el gobierno federal restringió la exportación de encripción poderosa de información. Las empresas informáticas tuvieron que usar dos versiones de encriptado: fuerte y débil. Sin embargo, la encripción débil se mantuvo mucho más de lo necesario.

El error informático fue detectado el año pasado por investigadores de seguridad académica del instituto de ciencias informáticas francés, INRIA. Ellos han ayudado silenciosamente a Apple y otros a arreglar este problema desde Noviembre. Lo llamaron el error FREAK, por las siglas de "Factoring Related Attack on RSA Keys." (Ataque relacionado a la factorización de claves de encriptación)

Hombre en el medio

Muy simplificada, FREAK es un ataque que se puede hacer por un "hombre en el medio" (alguien que puede escuchar en y cambiar el tráfico de red entre el usuario y el servidor de destino).

Utilizando FREAK, puede usted y el servidor de engañarlo para que decidirse por un esquema de cifrado mucho más débil que cualquiera de HTTPS que normalmente aceptaría.

Básicamente, se pone a utilizar lo que se llama cifrado RSA "exportables", un vestigio de la década de 1990 cuando el cifrado exportado de Estados Unidos se requiere para ser debilitado deliberadamente.

La idea era que las claves de calidad de exportación eran casi lo suficientemente bueno para todos los días, el uso no-tan-secreto, pero podrían ser descifradas por superpotencias con supercomputadoras si la seguridad nacional debe exigirlo.

Qué hacer

OpenSSL actualizado su código en enero, por lo que las versiones de 1.0.1k en adelante no tienen este error.

Puede eludir FREAK actualizando OpenSSL para este o cualquier versión posterior.

Parche de Apple, Android y windows es aparentemente "en proceso", así que ten cuidado de lo que sale.