RSS   Twitter

Certificados fraudulentos en Windows, Chrome y Firefox. Un problema mucho más inquietante de lo que parece

marzo 24th, 2011 Ov3R

SSL Encryption

Chrome advirtió el día 17 de que se actualizaba para revocar una serie de certificados digitales. Mozilla advirtió el día 22 de marzo de que actualizaba su navegador porque había incluido en él certificados fraudulentos. El día 23 es Microsoft la que confirma que debe actualizar su lista de certificados porque incluye varios inválidos. ¿Qué significa todo esto? ¿Qué pasa con los certificados?

¿Para qué sirven los certificados?

SSL debería cumplir dos funciones. Establecer una conexión cifrada sobre un canal público y también autentica al servidor. Nos ayuda a estar seguros de que el servidor es quien dice ser y también que pertenece a la empresa a la que debería pertenecer. Para la parte de autenticación, los servidores con SSL activo ofrecen al navegador un certificado para que lo compruebe, que es como una especie de DNI. En él, una autoridad (Verisign, Comodo…) certifica con su firma que la clave pública realmente pertenece al sitio.

El sistema de confianza en certificados tiene una estructura de árbol invertido y las raíces son estos certificados. El sistema confiará en todo lo que emitan. Si esto no ocurriese de esta forma y los navegadores o sistemas operativos no contasen con una serie de certificados raíz por defecto, no podríamos confiar en la identidad de las páginas, puesto que nadie lo acreditaría. Por el contrario (y como ocurre en realidad) se introducen demasiadas autoridades certificadoras en las que se confía (demasiados “Estados” que emitan el DNI), estas se vuelven el punto débil de la cadena, puesto que se confía en ellas y a su vez, en todo lo que ellas confíen. Un árbol con demasiadas “raíces” es más difícil de controlar. Además, las autoridades certificadoras confían en autoridades intermedias que le alivian el trabajo.

Qué ha pasado

Tanto Chrome como Mozilla como Internet Explorer (a través de la Trusted Root Certification Authorities Store) incluyen de serie una serie de certificados raíz en los que se confía, emitidos por autoridades certificadoras. Varios de estos certificados pertenecientes a Comodo han sido revocados porque se ha comprobado que han sido emitidos de forma fraudulenta sin su consentimiento.

Según ha anunciado Comodo (en una nota de prensa tardía, una vez que ya se había descubierto el asunto), un atacante con IP de Irán se hizo con usuario y contraseña de una autoridad secundaria de Comodo en el sur de Europa. El atacante utilizó estos datos para hacerse pasar por esa autoridad secundaria y emitir certificados fraudulentos de páginas como login.live.com, mail.google.com, www.google.com, login.yahoo.com, login.skype.com, addons.mozilla.org… Traducido: un atacante quería obtener certificados de esos dominios para hacerse pasar por ellos. Pero… ¿cómo puede ser, si ya existen? ¿Para qué emitir certificados válidos de dominios a los que no puedes suplantar? Esta es la segunda parte del problema: para que esto le sea útil al atacante, necesita:

Read More »

Review: OpenSUSE 11.4 Final.

marzo 18th, 2011 Ov3R

Fiel a la fecha prevista, OpenSUSE 11.4 ha sido liberada el día 10 de marzo. Es una distribución GNU/Linux caracterizada por su sencillez de manejo gracias a la herramienta de administración Yast (Yet another Setup Tool), excelente soporte de hardware, una de las mejores integrando KDE y también por su larga instalación.

El núcleo

El núcleo (2.6.37) incluye una modificación, Kernel activity patch, que aumenta de forma notable la velocidad del escritorio. Se ha mejorado el soporte de hardware con la inclusión de muchos controladores nuevos. La aceleración 2D y 3D se potencia con la inclusión de los últimos controladores gráficos de Xorg y Mesa.

Destacable el soporte para multiproceso en el sistema de archivos Ext4, empleado por defecto en la distribución y del que sacarán buen provecho los procesadores de dos o más núcleos, con un incremento significativo de rendimiento en las operaciones de acceso a disco.

Entornos de escritorio

KDE (4.6) es el entorno preferido de OpenSuSE, son años decantándose por él y funciona a la perfección. De las distribuciones que he probado, con diferencia la más rápida manejando KDE.

GNOME (2.32) con posibilidad de probar la versión 3 Beta.

XFCE (4.8), es un entorno de escritorio ligero, muy atractivo, perfectamente integrado en esta versión, que se adapta como un guante a máquinas con poca memoria RAM.

La distribución dispone de más entornos, como LXDE y gestores de ventanas ligeros, como Icewm, Openbox o fvwm2. La lista es más completa y desde Yast puedes investigar todos los que contempla la distribución aunque no vengan dentro del DVD.

Read More »

Asus, Intel y Chrome OS unidos para combatir a las tablets y revivir los netbooks

marzo 17th, 2011 Ov3R

Fuente: http://gizmologia.com


hora Asus quiere revivir las ventas de los netbooks y se ha buscado dos aliados, Intel y Google. En concreto por lo que se está comentando están planeando netbooks de bajo coste, tan bajo coste que es como si los vieses en una tienda y te los regalaran, o por lo menos ese es el efecto que quieren crear, porque el precio que barajan de salida está entre $200 USD y $250 USD (entre los 143 y 179 euros).

Por un lado la fabricación de los portátiles por parte de Asus, por otra el uso de los procesadores Intel Atom que sean relativamente potentes y económicos, pero donde está el verdadero ahorro es en la selección del sistema operativo, que pasaría por ser Google Chrome OS

Read More »

Las novedades de Linux 2.6.38

marzo 17th, 2011 Ov3R

Ya se ha anunciado la publicación de la versión 2.6.38 de Linux. Las novedades de esta versión son: agrupación automática de procesos (el “parche que hace milagros”), mejoras de escalabilidad en el VFS, compresión LZO y snapshots de sólo lectura en Btrfs, el protocolo de redes Mesh B.A.T.M.A.N. (que ayuda a proveer de conectividad de red en presencia de desastres naturales, conflictos militares o censura de Internet), soporte gráfico para AMD Fusion, páginas grandes transparentes en lugar de a través de hugetblfs, y muchos otros cambios menores y drivers nuevos. Lista completa en inglés en este enlace.
· Agrupación automática de procesos: La característica más impactante de esta versión es el “parche que hace milagros”, que es un parche que hace cambios sustanciales al modo en que se asigna tiempo de CPU a cada proceso. Con esta característica el sistema agrupará todos los procesos que tengan el mismo ID de sesión como una sola entidad. Ejemplo: Imaginemos 6 procesos que están consumiendo CPU continuamente, los 4 primeros con un mismo ID de sesión y los otros dos utilizando otras dos sesiones diferentes.

Read More »

Twitter añade cifrado SSL

marzo 16th, 2011 Ov3R

Twitter se suma a las iniciativas para proteger el contenido del tráfico web. Como ya hiciera hace tiempo Google, o Facebook, entre otros, Twitter añade soporte para conexiones seguras a través de SSL.

SSL (Secure Sockets Layer, capa de conexión segura) y TLS (Transport Layer Security, capa de seguridad del transporte) son dos métodos utilizados para ofrecer cifrado y integridad de datos en las comunicaciones entre dos entes a través de una red informática.

Desde ahora, un usuario de Twitter podrá configurar su cuenta para que utilice este cifrado por defecto. Se debe acceder a la configuración de la cuenta y marcar “Usar siempre HTTPS”. Esto lo protegerá de robo de tráfico en redes internas, por ejemplo. Además de que permitirá garantizar en todo momento que el usuario se comunica con el servidor legítimo.

Las aplicaciones de terceros basadas en Twitter pueden desde este momento implementar esta nueva medida de seguridad para sus clientes.

Read More »
« Older Entries