|
|
tecnoticias.info
|
Written by hispasec.com
|
|
Saturday, 31 December 2011 03:11 |
|
Una vulnerabilidad que afecta a la gran mayoría de las plataformas de
servicios web actuales podría permitir la realización de ataques de
denegación de servicio.
La vulnerabilidad fue presentada por dos investigadores en una
conferencia en el ya mítico congreso Chaos Communication Congress,
organizado por el Chaos Computer Club. La conferencia completa se
puede ver en YouTube en:
http://www.youtube.com/watch?v=R2Cq3CLI6H8
El problema afecta a una larga lista de tecnologías de desarrollo web,
incluyendo PHP, ASP.NET, Java, Python, Ruby, Apache Tomcat, Apache
Geronimo, Jetty o Glassfish. Concretamente versiones:
* Microsoft .NET Framework 1.x, 2.x, 3.x, y 4.x (CVE-2011-3414)
* PHP 5.3.x (CVE-2011-4885)
* Ruby 1.8.x (CVE-2011-4815)
* Rubinius 1.x
* Rack 1.x (CVE-2011-5036)
* Oracle GlassFish Server 3.x (CVE-2011-5035)
* Apache Tomcat 5.x, 6.x, y 7.x (CVE-2011-4084)
* Apache Geronimo 2.x (CVE-2011-5034)
* Google V8 (CVE-2011-5037)
* Jetty 6.x, y 7.x (CVE-2011-4461)
* Plone 4.x (CVE-2011-4462)
* JRuby 1.x (CVE-2011-4838)
Básicamente es más fácil decir a los lenguajes que no afecta: Perl
y CRuby 1.9.
La base de la vulnerabilidad reside en que prácticamente todos los
lenguajes almacenan en tablas hash los valores de los parámetros de las
peticiones web. Pero las funciones hash empleadas se ven afectadas por
colisiones. Por lo que es fácil generar peticiones con parámetros que
tengan el mismo hash. De forma que cuando el servidor inserta los
valores en la tabla hash se ve obligado a realizar un gran número de
operaciones. Lo que, con un número adecuado de parámetros, provoca la
denegación de servicio.
Este problema no es nuevo, básicamente es idéntico a otro ya conocido
desde 2003, que afectaba a Perl. Motivo por el que este lenguaje ya
incorpora la adecuada solución, que pasa por aleatorizar la clave
empleada para calcular el hash. De esta forma, el atacante no podrá
precalcular parámetros con hashes que provoquen colisiones. Otra forma
de evitar el fallo, mucho más sencilla, pasa por limitar el número de
parámetros procesados en cada petición.
Para tener una idea del alcance problema, en un sistema con Intel Core
i7 sobre una aplicación PHP, bastarían 500k de datos POST para ocupar un
minuto de tiempo de cálculo de CPU. De tal forma que bastaría con una
conexión de entre 70 a 100 kbits/s para mantener ocupada una CPU de este
tipo.
Los principales lenguajes ya han publicado actualizaciones y parches que
corrigen esta vulnerabilidad, que pueden ser descargadas desde la página
oficial de cada uno de ellos.
Microsoft, por ejemplo, ha publicado un boletín de urgencia para
corregir esta vulnerabilidad en Microsoft .NET Framework (si bien este
problema no es considerado crítico), y además solucionar otras tres
vulnerabilidades (una de ellas crítica).
Apache Tomcat ha implementado una contramedida para evitar los efectos
de un posible ataque, para lo que proporciona la nueva opción
"maxParameterCount" que limita el número de parámetros procesados en
cada petición. Por defecto está fijado a 10.000, suficientemente alto
para soportar cualquier aplicación y suficientemente bajo para mitigar
los efectos del DoS. Esta contramedida está disponible en las ramas
7.0.23 (en adelante) y 6.0.35 (en adelante).
En PHP una contramedida pasa por limitar el tiempo de CPU de generación
de una respuesta mediante "max_input_time"
Otras actualizaciones:
* Ruby: actualización a la versión 1.8.7-p357.
* PHP 5: corregido a través de repositorios SVN.
* Rack: corregido a través de repositorio GIT.
* Apache Tomcat: actualización a las versiones 5.5.35, 6.0.35, y 7.0.23.
* JRuby: actualización a la versión 1.6.5.1. |
|
Written by hispasec.com
|
|
Monday, 21 November 2011 15:57 |
|
Se han publicado las nuevas versiones de Joomla! 1.5.25 y 1.7.3, que
solucionan dos graves fallos de seguridad.
Joomla! es un sistema de gestión de contenidos y framework web muy
popular para la realización de portales web. Cuenta con una la gran
cantidad de extensiones de fácil integración que le proporcionan un
gran potencial.
La primera vulnerabilidad solucionada es común en ambas versiones.
Este fallo permite predecir una contraseña cuando es regenerada por
el sistema.
El segundo fallo solucionado solo afecta a las ramas 1.7.x y 1.6.x y se
trata de un cross site scripting provocado por un error en el filtrado
de los parámetros que recibe la aplicación. Esto permite ejecutar código
javascript a través de una url especialmente diseñada.
Recomendamos actualizar a las versiones 1.5.25 o 1.7.3 que solucionan
estos problemas. |
|
|
Written by elmundo.es
|
|
Wednesday, 19 October 2011 14:18 |
|
Fundó Apple, lanzó el primer sistema operativo con interfaz gráfica, reinventó la animación a través de Pixar, cambió la industria de la música con el iPod, hizo que funcionasen los teléfonos táctiles con el iPhone y, antes de fallecer, hizo realidad el sueño de crear un ordenador con forma de tableta, el iPad. Steven Paul 'Steve' Jobs ha fallecido en California a los 56 años con un legado tan amplio en su faceta profesional como escaso en su vida pública y personal.
A falta de que la biografía 'oficial' se ponga a la venta en noviembre, es el propio Jobs quien mejor describió un capítulo clave de su vida en un emocionante discurso durante la apertura del curso escolar del año 2005 en la Universidad de Stanford: su adopción.
La madre biológica de Jobs decidió que entregaría a su hijo. Pero sólo a unos padres que tuviesen estudios universitarios. Sin embargo, la familia a la que estaba destinado el bebé decidió, en el último momento, que quería una niña. Así que el pequeño Steven fue a recalar en otra donde su madre no tenía titulación y su padre ni siquiera el bachillerato. Pero aseguraron que su hijo iría a la universidad, lo que convenció a su madre biológica. «Diecisiete años después llegué a la universidad», recuerda Jobs, «pero seis meses después no le veía propósito alguno, no sabía qué hacer con mi vida, de modo que decidí dejarlo y confiar en que las cosas saldrían bien».
Decisión que fue, en sus propias palabras, «una de las mejores que nunca he tomado». Los trabajadores de Apple no califican a Jobs como impulsivo, pero lo que se cuenta sobre él muestra a alguien exigente, algo caprichoso, adicto al trabajo, controlador, amante del buen diseño, obsesionado con los pequeños detalles y, sobre todo, entusiasta y perfeccionista: «Creo que si haces algo y resulta que es muy bueno, lo siguiente que debes hacer es crear algo maravilloso, no recrearte demasiado en el pasado», declaró en 1996 a la NBC.
Hay quien dice que Jobs es el Leonardo da Vinci de nuestra época y es probable que la comparación sea, por ahora, una exageración. No lo es ponerle al nivel de emprendedores visionarios como Henry Ford o Thomas Edison, que alumbraron industrias al calor de su genio. El fundador de Apple no sólo tenía la capacidad de acertar el momento justo para poner el futuro a la venta. También convirtió a su compañía en la segunda con mayor capitalización bursátil del mundo, con más de 50.000 millones de dólares en caja.
Ilusión para cambiar el mundo
Desde que en 1976, junto a Steve Wozniak y Ronald Wayne, fundase Apple, Jobs se dedicó a crear, sobre todo, ilusiones. Desde el primer Macintosh hasta el iPad van más de 25 años de novedades e inventos que cambiaron la forma de entender el ocio a través de la ilusión de tocar el futuro. Lo hicieron ambos dispositivos pero también 'Toy Story', el iPod o la inclusión de todo el catálogo de The Beatles en iTunes.
El hombre que pondría rostro a la manzana más famosa y cara del mundo nació en San Francisco, pero tras su adopción por Paul y Clara Jobs creció en Mountain View, junto a Silicon Valley. Desde joven se interesó por la tecnología y no tardó en conocer a Steve Wozniak, figura clave para la puesta en marcha de Apple. Jobs no estudió en una gran universidad, sino que cursó un año en Redd, Portland —tras saltarse un año de instituto por su alto cociente intelectual—, pero lo dejó y sólo acudió a algunas clases sueltas. A cambio, en 1976, junto a Wozniak y tras regresar de un viaje a la India, puso en marcha desde un garaje una empresa que años después marcaría un buen número de hitos en la historia de la informática.
Es la época en la que aparece en las fotos con barba y pelo largo. Un tiempo que Jobs no solía recordar en vida porque, según todos los libros que recogen dichos acontecimientos, el verdadero genio detrás de las innovaciones de Apple era su colega Wozniak —de quien se aprovechó cuando eran jóvenes al vender a Atari un desarrollo 'robado' a su colega— que, a cambio, carecía de carisma y sentido empresarial. Fueron un equipo que lideró las tres primeras versiones del ordenador del mismo nombre de la empresa y después el Macintosh —junto al mítico anuncio 1984—, el primer ordenador con interfaz gráfica y escritorio al que pronto llegó el ratón, una versión portátil y muchas otras mejoras. Cierto que en los años siguientes fue Bill Gates quien, con Microsoft y junto a IBM, conquistó el mercado con el PC, pero la pareja fundadora de Apple son los verdaderos inventores de las 'ventanas'.
Pero para entonces Jobs había dejado su empresa. Ocurrió en 1984 y fue despedido por John Sculley, ex CEO de Pepsi-Cola a quien el propio fundador de la compañía de la manzana había reclutado un año antes para el mismo puesto con una cita para la posteridad: «¿Quieres vender agua con azúcar el resto de tu vida o quieres venir a cambiar el mundo conmigo?». En aquella época los empleados de Apple consideraban que Jobs era demasiado temperamental y Sculley decidió retirarle de sus labores al frente de Macintosh.
La conquista del desierto
Los doce años que Jobs tardó en regresar a Apple estuvieron lejos de ser una sequía, mucho menos un problema para alguien que no llegaba a los 30 años y tenía dinero de sobra para gastar. Tampoco fueron los mejores años de Apple, sino la época en que se convirtió en una compañía de culto para diseñadores y artistas gráficos, y sí los de Microsoft: conquistaron los escritorios con Windows 95 e Internet Explorer en ordenadores IBM.
NeXT fue la segunda aventura empresarial de Jobs. Una empresa que con el objetivo de hacer un producto excelente se ahogó antes de llegar a las masas. Queda para la galería de las anécdotas que Tim Berners-Lee diseñó Internet en uno de sus equipos. Aunque mantuvo NeXT, el exitoso treintañero de San Francisco decidió, en 1986, centrarse en un nuevo juguete: The Graphics Group, que después sería Pixar, una división de animación por ordenador que compró a Lucasfilm por 10 millones de dólares.
Aunque en un primer momento Jobs trató de hacer lo que mejor sabía —vender ordenadores— se dio finalmente por vencido y cerró un contrato con Disney para cofinanciar y distribuir una serie de películas. Como es habitual en él, el fundador de Apple se rodeó de estrellas como Tom Hanks o Tim Allen, puso al frente de la producción a John Lasseter y el resultado fue 'Toy Story' (1995). Un hito en la historia de la animación al que seguirían títulos inolvidables como 'Mostruos S.A.' o 'Buscando a Nemo', y que llevaría a Jobs a formar parte del Consejo de Administración de Disney después de que ésta adquiriese Pixar.
Tres revoluciones en 15 años
Con nuevos éxitos en el bolsillo y con su primera compañía en una situación delicada, Jobs movió sus fichas y regresó a Apple con la venta de NeXT en 1996. Un año después ejercía como primer ejecutivo al módico precio de un dólar e hizo lo prometido: dar por ganada la batalla del ordenador personal a Microsoft y centrarse en «el próximo gran invento». Lo consiguió al menos tres veces en los siguientes 15 años, aunque lo nieguen sus detractores y lo exageren sus partidarios.
La primera, en 2001, con el iPod, que suma más de 300 millones de unidades vendidas y al que se agregó en 2003 la tienda de música iTunes, que revolucionó los precios y el catálogo de música en Internet. La segunda, en 2007, con el iPhone: «De vez en cuando aparece un producto revolucionario que lo cambia todo», advirtió entonces, con razón, Jobs. La última, en 2010, con el iPad, que copa el 75% del mercado de las tabletas. Éxitos que además impulsaron un crecimiento del 23% en los ordenadores con manzana durante 2010. Victorias que han hecho de Apple una referencia mundial y un caso de estudio en las universidades de todo el mundo.
Logros basados, sobre todo, en el lema de Apple: «Piensa diferente» (Think Different). Una máxima inconformista que Jobs ha seguido también en su vida personal y que le ha llevado a trabajar como máximo responsable de la empresa hasta agosto de 2011, dos meses antes de su fallecimiento. Ni siquiera un cáncer de páncreas diagnosticado en 2004 y un trasplante de hígado en diciembre de 2009, que le supusieron graves complicaciones, alejaron al carismático líder de su empresa más de unos meses en cada ocasión.
Steven Paul 'Steve' Jobs murió con las botas puestas. Fue fan de The Beatles, protagonista de películas y documentales, uno de los hombres más influyentes de su tiempo e incluso fue parodiado sin piedad por Matt Groening en los Simpsons. También ejerció como marido de Laurene Powell, con quien se casó por el rito budista y tuvo un hijo y dos hijas, y padre de Lisa Brennan-Jobs —aunque le costó reconocerla—, la mayor de sus cuatro vástagos.
Poco dado a aparecer en la prensa o a dar discursos, Jobs tampoco fue gran amigo de largas reuniones o encuentros profesionales. Con Eric Schmidt, cuando era CEO de Google, se reunió en una cafetería. Con Mark Zuckerberg prefirió cenar en casa. Quizá sea porque, aunque disfrutó del dinero, nunca fue una obsesión para él: «Ser el hombre más rico del cementerio no es algo que me preocupe… irme a la cama cada noche pensando que he hecho algo maravilloso, eso es lo que me importa», aseguró en 1993 a 'The Wall Street Journal'.
Ni siquiera en el encuentro que mantuvo con el presidente de EEUU, Barack Obama, junto a un buen número de colegas se puso traje y corbata. Sus vaqueros, camiseta y jersey oscuros, con sus gafas de patilla fina, eran todos los adornos que este visionario ilusionista necesitaba para convertir un teléfono en una caja de magia repleta de sorprendentes trucos.
|
|
Written by hispasec.com
|
|
Wednesday, 19 October 2011 13:56 |
|
Alguien parece que ha tomado el código de Stuxnet y creado un nuevo
malware al que se ha llamado Duqu (porque crea ficheros que comienzan
con ~DQ). Es un troyano creado como un sistema de control remoto, pero
parece estar orientado a infectar sistemas industriales.
Diferencias con Stuxnet
Stuxnet contenía dentro de su código la contraseña por defecto
"2WSXcder" para la base de datos central del producto SCADA WinCC de
Siemens. El troyano conseguía acceso de administración de la base de
datos. Duqu parece que simplemente se trata de un sistema de control
remoto, pero que se ha encontrado en dependencias industriales europeas.
Duqu no se replica. En este caso, parece haber aprendido la lección. En
la una-al-día de octubre de 2010, "Éxitos y fracasos de Stuxnet (II)" ya
se apuntaba este aspecto: "El punto débil (siempre desde el punto de
vista de Stuxnet y sus creadores) ha sido solo uno: ¿por qué un gusano
que se autorreplica indiscriminadamente? ¿Qué necesidad de infectar más
allá de los sistemas objetivo?"
Otra diferencia muy importante y que lo aleja de la sofisticación de
Stuxnet es que no contiene ningún ataque a Windows desconocido hasta el
momento (0 day). Aunque Symantec no lo ha analizado por completo, parece
que no contiene ninguno, mientras que Stuxnet usaba cuatro. Una permitía
la ejecución de código aunque el AutoPlay y AutoRun se encontrasen
desactivados. A efectos prácticos, implica que se había descubierto una
forma totalmente nueva de ejecutar código en Windows cuando se inserta
un dispositivo extraíble, independientemente de que se hayan tomado
todas las medidas oportunas conocidas hasta el momento para impedirlo.
La segunda permitía la ejecución de código a través del servicio de
impresión (spooler) de cualquier Windows. En impresoras compartidas por
red, el troyano podía enviar una petición al servicio y colocar archivos
en rutas de sistema. Esto permitía su máxima difusión dentro de una red
interna, por ejemplo. Las otras dos, permitían la elevación de
privilegios.
Sin embargo, se parecen mucho en su código. Esto quiere decir o bien que
las mismas personas están detrás de esta nueva creación, o bien que se
ha filtrado de alguna manera el código original. Siendo sinceros,
asociarlo con Stuxnet también es una forma de "vender" la noticia. El
problema es que quizás, este tipo de ataques que con Stuxnet se han
considerado "sofisticados" se conviertan en norma relativamente
frecuente de ahora en adelante y las comparaciones sean innecesarias.
Características
Duqu parece un medio más que un fin. Ha sido usado para instalar a
su vez un registrador de teclas en los sistemas infectados. En este
sentido, se comporta como una botnet "tradicional" usando http y https
para conectarse con su "command and control" (alojado en India), al que
parece enviar información disfraza de imágenes JPG. A los 36 días, el
troyano se borra a sí mismo.
Al igual que Stuxnet, se trata de un driver (.sys) firmado digitalmente
por una entidad legal a la que probablemente han robado su certificado.
Si Stuxnet utilizó certificados de Realtek, estos son de C-Media, una
empresa de chipsets en Taiwan. Ya han sido revocados. ¿Cómo lo han
hecho? Bien pueden haber sido robados, bien pueden haber sido
falsificados en nombre de esa empresa. Aún no se sabe.
Cronología
La primera aparición de un componente de este troyano se da el 1 de
septiembre de 2011, aunque por la fecha de compilación, se deduce que
podrían haber sido creados a principios de diciembre de 2010.
En VirusTotal fue visto por primera vez ese día 1 de septiembre.
Entonces era detectado por AntiVir, BitDefender, F-Secure, GData y
SUPERAntiSpyware (5 de 41) por heurística. Hoy en día, lo detectan
29 de 43 motores. Esa variante nos ha llegado 8 veces. Existen dos
variantes más que han sido enviadas a VirusTotal 4 veces en total. |
|
|
Written by telesurtv.net
|
|
Wednesday, 19 October 2011 14:00 |
|
Dennis Ritchie, el hacker que desarrolló el lenguaje C y el sistema Unix.
Por: Miguel Ángel Criado
Como a Steve Jobs, el cáncer se llevó el pasado miércoles a Dennis Ritchie, aunque la noticia apenas ha trascendido los blogs especializados. Pero los aparatos ideados por Jobs (y no sólo los de Apple) no funcionarían o serían muy diferentes sin Ritchie. Nacido en Nueva York en 1941, fue una figura clave en la escena tecnológica de los años setenta, cuando se sentaron las bases de la tecnología de hoy.
A los que no sean informáticos apenas les sonarán Unix o C. El primero es un sistema operativo (como Windows o Linux). Aunque estaba destinado a grandes máquinas empresariales y su uso está en declive, muchas de las líneas de código de este programa están en casi todos los sistemas operativos actuales. El segundo es un lenguaje de programación para crear aplicaciones informáticas. A pesar de tener ya casi 40 años, su gramática está detrás de los servidores Apache (infraestructura sobre la que se apoya internet), el software del Kindle de Amazon, el iPhone de Apple o el Chrome de Google. En la creación de ambos participó Ritchie.
Con los herederos del lenguaje C se crean desde webs hasta navegadores
Hijo de un teórico de la conmutación de circuitos, nada más salir de Harvard, Ritchie empezó a trabajar en la misma empresa que su padre, Bell Labs, por entonces el centro de investigación de nuevas tecnologías de la telefónica ATT y hoy propiedad de Alcatel Lucent. En una vieja entrevista, este hacker de la primera ola recordó cómo había rechazado colaborar con Sandia National Laboratories, especializada en la investigación en armamento nuclear. "Pero eso fue alrededor de 1968", dijo a The New York Times, "y hacer bombas atómicas para el Gobierno no parecía en sintonía con los tiempos", añadió.
Dmr, apodo con el que era conocido Ritchie en la escena hacking de entonces, se encontró en Bell Labs con algunos de los pioneros de la moderna informática. El desarrollo de Unix y C fue casi en paralelo. Buscaban crear un nuevo sistema operativo y para ello necesitaban un nuevo lenguaje de programación.
Hasta la llegada de Unix (en 1971), las computadoras se vendían a grandes empresas, organismos del Gobierno y universidades con todo su software empaquetado. Por el contrario, Unix era portátil, se podía instalar en diferentes máquinas. También fue diseñado con dos de las características que hoy definen a los ordenadores: multitarea y multiusuario.
El estadounidense recibió el Premio Turing, el Nobel de la tecnología
A esta filosofía abierta se unió el hecho de que ATT tenía prohibido meterse en otros negocios que no fueran la telefonía. Eso le obligó a licenciar Unix y dar acceso a su código. Los investigadores se abalanzaron sobre él y, mitad por obligación, mitad por convicción, propiciaron el nacimiento del movimiento del código abierto.
Aunque la primera versión de Unix se creó con otro programa, dmr y sus colegas crearon un nuevo lenguaje de programación para rehacer su flamante sistema operativo. C nació del fracaso de un anterior programa pedido por los jefes de ATT. Ritchie y sus compañeros querían que Unix pudiera usarse en cualquier máquina (la fabricada por cada compañía era incompatible con las demás) y para conseguir esta multiplataforma necesitaban reescribir Unix y para eso crearon C. Sin embargo, C ha servido para mucho más. Este lenguaje (o sus hijos, como C++) está en la base de la práctica totalidad de los programas que se usan para hacer otros programas, como PHP, Perl, Java, Ruby... Y con ellos se crean las páginas web de Facebook o Amazon, el Office de Microsoft, el Android de Google o los navegadores TomTom.
A pesar de que Ritchie recibió el Premio Turing, una especie de Nobel de la tecnología, muy pocos sabían quién era cuando se supo de su muerte. Una posible razón la ofrece en la revista Wired el profesor del MIT, Martin Rinard: "Jobs era el rey de lo visible, y Ritchie es el rey de lo que es en gran medida invisible".
|
|
Written by hispasec.com
|
|
Wednesday, 07 September 2011 12:56 |
|
DigiNotar: La tercera revocación masiva en 10 años
--------------------------------------------------
Hoy Microsoft ha publicado en forma de actualización automática su
tercera revocación masiva en 10 años... y la segunda de 2011. Y no
solo ha avanzado en número sino en "calidad" de las revocaciones. El
incidente del compromiso de DigiNotar ha disparado las dudas sobre el
funcionamiento PKI. Y lo peor es que parece que lo interesante está
por llegar.
Marzo 2001. VeriSign
VeriSign, la empresa líder en emisión de certificados para Internet,
protagonizó en marzo de 2001 uno de los fiascos más importantes de su
historia. Emitieron dos certificados a un impostor que se hizo pasar por
trabajador de Microsoft. Esto hubiera permitido, por ejemplo, firmar
programas o cualquier software malicioso como si fueran aplicaciones
originales de Microsoft. McAfee y Symantec se apresuraron en anunciar
que sus antivirus cuentan con actualizaciones para detectar los
certificados fraudulentos, como si de un virus se tratara. Los
certificados fueron revocados en la actualización de Microsoft MS01-017.
El origen del fallo fue el protocolo de validación, usando la ingeniería
social.
Este era el aspecto por defecto (hasta marzo de 2011) del manejador de
certificados de cualquier Windows (ejecutar certmgr.msc en la línea de
comandos):
http://blog.hispasec.com/laboratorio/images/noticias/cert1.png
Marzo 2011. Comodo
Comodo reconoció que un atacante con IP de Irán se hizo con usuario y
contraseña de una autoridad secundaria de Comodo en el sur de Europa.
El atacante utilizó estos datos para hacerse pasar por esa autoridad
secundaria y emitir certificados fraudulentos de páginas como
login.live.com, mail.google.com, www.google.com, login.yahoo.com,
login.skype.com, addons.mozilla.org...
Si en la ocasión anterior se revocaron certificados de firma de código,
era la primera vez que se hacía una revocación masiva de certificados
SSL y a nivel de dominios importantes.
Este era el aspecto por defecto (hasta septiembre de 2011) del manejador
de certificados de cualquier Windows:
http://blog.hispasec.com/laboratorio/images/noticias/cert2.png
Septiembre 2011. DigiNotar
Al parecer, el mismo intruso que consiguió emitir los certificados
fraudulentos de Comodo, compromete por completo la compañía DigiNotar
(de Vasco) y se detectan certificados de decenas de dominios
importantes. La "calidad" de la revocación aumenta, y no sólo se
invalidan certificados concretos por "fraudulentos" sino a la entidad
entera (sus certificados raíz) por "no confiables". El atacante entró
hasta el último recodo de la empresa.
Este es el aspecto del manejador de certificados de cualquier Windows
actual:
http://blog.hispasec.com/laboratorio/images/noticias/certfraud.png
Futuro...
Rota por completo la confianza en DigiNotar, probablemente desaparezca
o, como se suele hacer, cambiará de nombre para intentarlo de nuevo.
GlobalSign, otra importante empresa certificadora, acaba de confirmar
que ha sufrido una intrusión.
El atacante iraní que afirma ser el autor del compromiso de DigiNotar,
también asegura tener acceso a otras entidades certificadoras y la
posibilidad de emitir nuevos certificados falsos.
Aunque PKI esté concebida para sufrir este tipo de revocaciones
ocasionales, el hecho de que se utilicen con tanta asiduidad merma la
confianza en el modelo. Además en dispositivos móviles, por ejemplo,
cada vez más utilizados para navegar, no es tan sencillo actualizar y
revocar certificados...
Habrá que estar atentos. |
|
|
|
|
<< Start < Prev 1 2 3 Next > End >>
|
|
Page 1 of 3 |
|
|
|
|
Just a few weeks after the official launch of AMD's first processors based on the Bulldozer architecture, an overclocker has managed to reach a new CPU frequency world record by utilizing the chip maker's flagship desktop processor, the FX-8150.
Continuing with the string of graphene research breakthroughs, some researchers from Korea discovered a way to make the carbon-based material stretch when part of a transistor. 
Fujitsu announced earlier today that it has received a contract from the Kamioka Observatory, part of the University of Tokyo's Institute for Cosmic Ray Research, to build a system which uses neutrino observations to understand the origin of the universe.
A consortium comprised of leading computing companies in Europe and research institutes, has just announced that it plans to develop a new type of computer architecture based on ARM processors that will be able to deliver exascale performance while using 15 to 30 times less energy than today's systems.
In a study that proved diode lasers can replace their LED-based counterparts in a wide variety of applications, researchers at the US Department of Energy's (DOE) Sandia National Laboratories (SNL) were able to produce a high-quality type of white light using nothing but a four-color laser source. 
Massachusetts Institute of Technology (MIT) scientists announce the development of a new scientific method for strengthening synapses between neurons grown in the lab. This represents the first time such an achievement is reached. 
By faking the quantum property of entanglement with the use of a laser, hackers managed to cheat the cryptography that was believed to be uncrackable.
Following 77 days of non-stop flight, the China National Space Administration's (CNSA) Chang'e 2 spacecraft is now parked in the L2 Lagrangian point. This spot is located about 1.5 million kilometers (932,000 miles) away from Earth. 
Using the NASA Spitzer Space Telescope, astronomers were recently able to answer some of the most difficult questions related to the supernova RCW 86. Chinese astronomers were the first to detect it in 185 AD, and the object is widely accepted as the oldest documented supernova event.