|
|
tecnoticias.info
|
Written by hispasec.com
|
|
Saturday, 31 December 2011 03:11 |
|
Una vulnerabilidad que afecta a la gran mayoría de las plataformas de servicios web actuales podría permitir la realización de ataques de denegación de servicio.
La vulnerabilidad fue presentada por dos investigadores en una conferencia en el ya mítico congreso Chaos Communication Congress, organizado por el Chaos Computer Club. La conferencia completa se puede ver en YouTube en: http://www.youtube.com/watch?v=R2Cq3CLI6H8
El problema afecta a una larga lista de tecnologías de desarrollo web, incluyendo PHP, ASP.NET, Java, Python, Ruby, Apache Tomcat, Apache Geronimo, Jetty o Glassfish. Concretamente versiones: * Microsoft .NET Framework 1.x, 2.x, 3.x, y 4.x (CVE-2011-3414) * PHP 5.3.x (CVE-2011-4885) * Ruby 1.8.x (CVE-2011-4815) * Rubinius 1.x * Rack 1.x (CVE-2011-5036) * Oracle GlassFish Server 3.x (CVE-2011-5035) * Apache Tomcat 5.x, 6.x, y 7.x (CVE-2011-4084) * Apache Geronimo 2.x (CVE-2011-5034) * Google V8 (CVE-2011-5037) * Jetty 6.x, y 7.x (CVE-2011-4461) * Plone 4.x (CVE-2011-4462) * JRuby 1.x (CVE-2011-4838) Básicamente es más fácil decir a los lenguajes que no afecta: Perl y CRuby 1.9.
La base de la vulnerabilidad reside en que prácticamente todos los lenguajes almacenan en tablas hash los valores de los parámetros de las peticiones web. Pero las funciones hash empleadas se ven afectadas por colisiones. Por lo que es fácil generar peticiones con parámetros que tengan el mismo hash. De forma que cuando el servidor inserta los valores en la tabla hash se ve obligado a realizar un gran número de operaciones. Lo que, con un número adecuado de parámetros, provoca la denegación de servicio.
Este problema no es nuevo, básicamente es idéntico a otro ya conocido desde 2003, que afectaba a Perl. Motivo por el que este lenguaje ya incorpora la adecuada solución, que pasa por aleatorizar la clave empleada para calcular el hash. De esta forma, el atacante no podrá precalcular parámetros con hashes que provoquen colisiones. Otra forma de evitar el fallo, mucho más sencilla, pasa por limitar el número de parámetros procesados en cada petición.
Para tener una idea del alcance problema, en un sistema con Intel Core i7 sobre una aplicación PHP, bastarían 500k de datos POST para ocupar un minuto de tiempo de cálculo de CPU. De tal forma que bastaría con una conexión de entre 70 a 100 kbits/s para mantener ocupada una CPU de este tipo.
Los principales lenguajes ya han publicado actualizaciones y parches que corrigen esta vulnerabilidad, que pueden ser descargadas desde la página oficial de cada uno de ellos.
Microsoft, por ejemplo, ha publicado un boletín de urgencia para corregir esta vulnerabilidad en Microsoft .NET Framework (si bien este problema no es considerado crítico), y además solucionar otras tres vulnerabilidades (una de ellas crítica).
Apache Tomcat ha implementado una contramedida para evitar los efectos de un posible ataque, para lo que proporciona la nueva opción "maxParameterCount" que limita el número de parámetros procesados en cada petición. Por defecto está fijado a 10.000, suficientemente alto para soportar cualquier aplicación y suficientemente bajo para mitigar los efectos del DoS. Esta contramedida está disponible en las ramas 7.0.23 (en adelante) y 6.0.35 (en adelante).
En PHP una contramedida pasa por limitar el tiempo de CPU de generación de una respuesta mediante "max_input_time" Otras actualizaciones: * Ruby: actualización a la versión 1.8.7-p357. * PHP 5: corregido a través de repositorios SVN. * Rack: corregido a través de repositorio GIT. * Apache Tomcat: actualización a las versiones 5.5.35, 6.0.35, y 7.0.23. * JRuby: actualización a la versión 1.6.5.1. |
|
Written by hispasec.com
|
|
Monday, 21 November 2011 15:57 |
|
Se han publicado las nuevas versiones de Joomla! 1.5.25 y 1.7.3, que solucionan dos graves fallos de seguridad.
Joomla! es un sistema de gestión de contenidos y framework web muy popular para la realización de portales web. Cuenta con una la gran cantidad de extensiones de fácil integración que le proporcionan un gran potencial.
La primera vulnerabilidad solucionada es común en ambas versiones. Este fallo permite predecir una contraseña cuando es regenerada por el sistema.
El segundo fallo solucionado solo afecta a las ramas 1.7.x y 1.6.x y se trata de un cross site scripting provocado por un error en el filtrado de los parámetros que recibe la aplicación. Esto permite ejecutar código javascript a través de una url especialmente diseñada.
Recomendamos actualizar a las versiones 1.5.25 o 1.7.3 que solucionan estos problemas. |
|
|
Written by elmundo.es
|
|
Wednesday, 19 October 2011 14:18 |
|

Fundó Apple, lanzó el primer sistema operativo con interfaz gráfica, reinventó la animación a través de Pixar, cambió la industria de la música con el iPod, hizo que funcionasen los teléfonos táctiles con el iPhone y, antes de fallecer, hizo realidad el sueño de crear un ordenador con forma de tableta, el iPad. Steven Paul 'Steve' Jobs ha fallecido en California a los 56 años con un legado tan amplio en su faceta profesional como escaso en su vida pública y personal.
A falta de que la biografía 'oficial' se ponga a la venta en noviembre, es el propio Jobs quien mejor describió un capítulo clave de su vida en un emocionante discurso durante la apertura del curso escolar del año 2005 en la Universidad de Stanford: su adopción.
La madre biológica de Jobs decidió que entregaría a su hijo. Pero sólo a unos padres que tuviesen estudios universitarios. Sin embargo, la familia a la que estaba destinado el bebé decidió, en el último momento, que quería una niña. Así que el pequeño Steven fue a recalar en otra donde su madre no tenía titulación y su padre ni siquiera el bachillerato. Pero aseguraron que su hijo iría a la universidad, lo que convenció a su madre biológica. «Diecisiete años después llegué a la universidad», recuerda Jobs, «pero seis meses después no le veía propósito alguno, no sabía qué hacer con mi vida, de modo que decidí dejarlo y confiar en que las cosas saldrían bien».
Decisión que fue, en sus propias palabras, «una de las mejores que nunca he tomado». Los trabajadores de Apple no califican a Jobs como impulsivo, pero lo que se cuenta sobre él muestra a alguien exigente, algo caprichoso, adicto al trabajo, controlador, amante del buen diseño, obsesionado con los pequeños detalles y, sobre todo, entusiasta y perfeccionista: «Creo que si haces algo y resulta que es muy bueno, lo siguiente que debes hacer es crear algo maravilloso, no recrearte demasiado en el pasado», declaró en 1996 a la NBC.
Hay quien dice que Jobs es el Leonardo da Vinci de nuestra época y es probable que la comparación sea, por ahora, una exageración. No lo es ponerle al nivel de emprendedores visionarios como Henry Ford o Thomas Edison, que alumbraron industrias al calor de su genio. El fundador de Apple no sólo tenía la capacidad de acertar el momento justo para poner el futuro a la venta. También convirtió a su compañía en la segunda con mayor capitalización bursátil del mundo, con más de 50.000 millones de dólares en caja.
Ilusión para cambiar el mundo
Desde que en 1976, junto a Steve Wozniak y Ronald Wayne, fundase Apple, Jobs se dedicó a crear, sobre todo, ilusiones. Desde el primer Macintosh hasta el iPad van más de 25 años de novedades e inventos que cambiaron la forma de entender el ocio a través de la ilusión de tocar el futuro. Lo hicieron ambos dispositivos pero también 'Toy Story', el iPod o la inclusión de todo el catálogo de The Beatles en iTunes.
El hombre que pondría rostro a la manzana más famosa y cara del mundo nació en San Francisco, pero tras su adopción por Paul y Clara Jobs creció en Mountain View, junto a Silicon Valley. Desde joven se interesó por la tecnología y no tardó en conocer a Steve Wozniak, figura clave para la puesta en marcha de Apple. Jobs no estudió en una gran universidad, sino que cursó un año en Redd, Portland —tras saltarse un año de instituto por su alto cociente intelectual—, pero lo dejó y sólo acudió a algunas clases sueltas. A cambio, en 1976, junto a Wozniak y tras regresar de un viaje a la India, puso en marcha desde un garaje una empresa que años después marcaría un buen número de hitos en la historia de la informática.
Es la época en la que aparece en las fotos con barba y pelo largo. Un tiempo que Jobs no solía recordar en vida porque, según todos los libros que recogen dichos acontecimientos, el verdadero genio detrás de las innovaciones de Apple era su colega Wozniak —de quien se aprovechó cuando eran jóvenes al vender a Atari un desarrollo 'robado' a su colega— que, a cambio, carecía de carisma y sentido empresarial. Fueron un equipo que lideró las tres primeras versiones del ordenador del mismo nombre de la empresa y después el Macintosh —junto al mítico anuncio 1984—, el primer ordenador con interfaz gráfica y escritorio al que pronto llegó el ratón, una versión portátil y muchas otras mejoras. Cierto que en los años siguientes fue Bill Gates quien, con Microsoft y junto a IBM, conquistó el mercado con el PC, pero la pareja fundadora de Apple son los verdaderos inventores de las 'ventanas'.
Pero para entonces Jobs había dejado su empresa. Ocurrió en 1984 y fue despedido por John Sculley, ex CEO de Pepsi-Cola a quien el propio fundador de la compañía de la manzana había reclutado un año antes para el mismo puesto con una cita para la posteridad: «¿Quieres vender agua con azúcar el resto de tu vida o quieres venir a cambiar el mundo conmigo?». En aquella época los empleados de Apple consideraban que Jobs era demasiado temperamental y Sculley decidió retirarle de sus labores al frente de Macintosh.
La conquista del desierto
Los doce años que Jobs tardó en regresar a Apple estuvieron lejos de ser una sequía, mucho menos un problema para alguien que no llegaba a los 30 años y tenía dinero de sobra para gastar. Tampoco fueron los mejores años de Apple, sino la época en que se convirtió en una compañía de culto para diseñadores y artistas gráficos, y sí los de Microsoft: conquistaron los escritorios con Windows 95 e Internet Explorer en ordenadores IBM.
NeXT fue la segunda aventura empresarial de Jobs. Una empresa que con el objetivo de hacer un producto excelente se ahogó antes de llegar a las masas. Queda para la galería de las anécdotas que Tim Berners-Lee diseñó Internet en uno de sus equipos. Aunque mantuvo NeXT, el exitoso treintañero de San Francisco decidió, en 1986, centrarse en un nuevo juguete: The Graphics Group, que después sería Pixar, una división de animación por ordenador que compró a Lucasfilm por 10 millones de dólares.
Aunque en un primer momento Jobs trató de hacer lo que mejor sabía —vender ordenadores— se dio finalmente por vencido y cerró un contrato con Disney para cofinanciar y distribuir una serie de películas. Como es habitual en él, el fundador de Apple se rodeó de estrellas como Tom Hanks o Tim Allen, puso al frente de la producción a John Lasseter y el resultado fue 'Toy Story' (1995). Un hito en la historia de la animación al que seguirían títulos inolvidables como 'Mostruos S.A.' o 'Buscando a Nemo', y que llevaría a Jobs a formar parte del Consejo de Administración de Disney después de que ésta adquiriese Pixar.
Tres revoluciones en 15 años
Con nuevos éxitos en el bolsillo y con su primera compañía en una situación delicada, Jobs movió sus fichas y regresó a Apple con la venta de NeXT en 1996. Un año después ejercía como primer ejecutivo al módico precio de un dólar e hizo lo prometido: dar por ganada la batalla del ordenador personal a Microsoft y centrarse en «el próximo gran invento». Lo consiguió al menos tres veces en los siguientes 15 años, aunque lo nieguen sus detractores y lo exageren sus partidarios.
La primera, en 2001, con el iPod, que suma más de 300 millones de unidades vendidas y al que se agregó en 2003 la tienda de música iTunes, que revolucionó los precios y el catálogo de música en Internet. La segunda, en 2007, con el iPhone: «De vez en cuando aparece un producto revolucionario que lo cambia todo», advirtió entonces, con razón, Jobs. La última, en 2010, con el iPad, que copa el 75% del mercado de las tabletas. Éxitos que además impulsaron un crecimiento del 23% en los ordenadores con manzana durante 2010. Victorias que han hecho de Apple una referencia mundial y un caso de estudio en las universidades de todo el mundo.
Logros basados, sobre todo, en el lema de Apple: «Piensa diferente» (Think Different). Una máxima inconformista que Jobs ha seguido también en su vida personal y que le ha llevado a trabajar como máximo responsable de la empresa hasta agosto de 2011, dos meses antes de su fallecimiento. Ni siquiera un cáncer de páncreas diagnosticado en 2004 y un trasplante de hígado en diciembre de 2009, que le supusieron graves complicaciones, alejaron al carismático líder de su empresa más de unos meses en cada ocasión.
Steven Paul 'Steve' Jobs murió con las botas puestas. Fue fan de The Beatles, protagonista de películas y documentales, uno de los hombres más influyentes de su tiempo e incluso fue parodiado sin piedad por Matt Groening en los Simpsons. También ejerció como marido de Laurene Powell, con quien se casó por el rito budista y tuvo un hijo y dos hijas, y padre de Lisa Brennan-Jobs —aunque le costó reconocerla—, la mayor de sus cuatro vástagos.
Poco dado a aparecer en la prensa o a dar discursos, Jobs tampoco fue gran amigo de largas reuniones o encuentros profesionales. Con Eric Schmidt, cuando era CEO de Google, se reunió en una cafetería. Con Mark Zuckerberg prefirió cenar en casa. Quizá sea porque, aunque disfrutó del dinero, nunca fue una obsesión para él: «Ser el hombre más rico del cementerio no es algo que me preocupe… irme a la cama cada noche pensando que he hecho algo maravilloso, eso es lo que me importa», aseguró en 1993 a 'The Wall Street Journal'.
Ni siquiera en el encuentro que mantuvo con el presidente de EEUU, Barack Obama, junto a un buen número de colegas se puso traje y corbata. Sus vaqueros, camiseta y jersey oscuros, con sus gafas de patilla fina, eran todos los adornos que este visionario ilusionista necesitaba para convertir un teléfono en una caja de magia repleta de sorprendentes trucos.
|
|
Written by hispasec.com
|
|
Wednesday, 19 October 2011 13:56 |
|
Alguien parece que ha tomado el código de Stuxnet y creado un nuevo malware al que se ha llamado Duqu (porque crea ficheros que comienzan con ~DQ). Es un troyano creado como un sistema de control remoto, pero parece estar orientado a infectar sistemas industriales.
Diferencias con Stuxnet
Stuxnet contenía dentro de su código la contraseña por defecto "2WSXcder" para la base de datos central del producto SCADA WinCC de Siemens. El troyano conseguía acceso de administración de la base de datos. Duqu parece que simplemente se trata de un sistema de control remoto, pero que se ha encontrado en dependencias industriales europeas.
Duqu no se replica. En este caso, parece haber aprendido la lección. En la una-al-día de octubre de 2010, "Éxitos y fracasos de Stuxnet (II)" ya se apuntaba este aspecto: "El punto débil (siempre desde el punto de vista de Stuxnet y sus creadores) ha sido solo uno: ¿por qué un gusano que se autorreplica indiscriminadamente? ¿Qué necesidad de infectar más allá de los sistemas objetivo?"
Otra diferencia muy importante y que lo aleja de la sofisticación de Stuxnet es que no contiene ningún ataque a Windows desconocido hasta el momento (0 day). Aunque Symantec no lo ha analizado por completo, parece que no contiene ninguno, mientras que Stuxnet usaba cuatro. Una permitía la ejecución de código aunque el AutoPlay y AutoRun se encontrasen desactivados. A efectos prácticos, implica que se había descubierto una forma totalmente nueva de ejecutar código en Windows cuando se inserta un dispositivo extraíble, independientemente de que se hayan tomado todas las medidas oportunas conocidas hasta el momento para impedirlo. La segunda permitía la ejecución de código a través del servicio de impresión (spooler) de cualquier Windows. En impresoras compartidas por red, el troyano podía enviar una petición al servicio y colocar archivos en rutas de sistema. Esto permitía su máxima difusión dentro de una red interna, por ejemplo. Las otras dos, permitían la elevación de privilegios.
Sin embargo, se parecen mucho en su código. Esto quiere decir o bien que las mismas personas están detrás de esta nueva creación, o bien que se ha filtrado de alguna manera el código original. Siendo sinceros, asociarlo con Stuxnet también es una forma de "vender" la noticia. El problema es que quizás, este tipo de ataques que con Stuxnet se han considerado "sofisticados" se conviertan en norma relativamente frecuente de ahora en adelante y las comparaciones sean innecesarias.
Características
Duqu parece un medio más que un fin. Ha sido usado para instalar a su vez un registrador de teclas en los sistemas infectados. En este sentido, se comporta como una botnet "tradicional" usando http y https para conectarse con su "command and control" (alojado en India), al que parece enviar información disfraza de imágenes JPG. A los 36 días, el troyano se borra a sí mismo.
Al igual que Stuxnet, se trata de un driver (.sys) firmado digitalmente por una entidad legal a la que probablemente han robado su certificado. Si Stuxnet utilizó certificados de Realtek, estos son de C-Media, una empresa de chipsets en Taiwan. Ya han sido revocados. ¿Cómo lo han hecho? Bien pueden haber sido robados, bien pueden haber sido falsificados en nombre de esa empresa. Aún no se sabe.
Cronología
La primera aparición de un componente de este troyano se da el 1 de septiembre de 2011, aunque por la fecha de compilación, se deduce que podrían haber sido creados a principios de diciembre de 2010.
En VirusTotal fue visto por primera vez ese día 1 de septiembre. Entonces era detectado por AntiVir, BitDefender, F-Secure, GData y SUPERAntiSpyware (5 de 41) por heurística. Hoy en día, lo detectan 29 de 43 motores. Esa variante nos ha llegado 8 veces. Existen dos variantes más que han sido enviadas a VirusTotal 4 veces en total. |
|
|
Written by telesurtv.net
|
|
Wednesday, 19 October 2011 14:00 |
|
Dennis Ritchie, el hacker que desarrolló el lenguaje C y el sistema Unix.
Por: Miguel Ángel Criado
Como a Steve Jobs, el cáncer se llevó el pasado miércoles a Dennis Ritchie, aunque la noticia apenas ha trascendido los blogs especializados. Pero los aparatos ideados por Jobs (y no sólo los de Apple) no funcionarían o serían muy diferentes sin Ritchie. Nacido en Nueva York en 1941, fue una figura clave en la escena tecnológica de los años setenta, cuando se sentaron las bases de la tecnología de hoy.
A los que no sean informáticos apenas les sonarán Unix o C. El primero es un sistema operativo (como Windows o Linux). Aunque estaba destinado a grandes máquinas empresariales y su uso está en declive, muchas de las líneas de código de este programa están en casi todos los sistemas operativos actuales. El segundo es un lenguaje de programación para crear aplicaciones informáticas. A pesar de tener ya casi 40 años, su gramática está detrás de los servidores Apache (infraestructura sobre la que se apoya internet), el software del Kindle de Amazon, el iPhone de Apple o el Chrome de Google. En la creación de ambos participó Ritchie.
Con los herederos del lenguaje C se crean desde webs hasta navegadores
Hijo de un teórico de la conmutación de circuitos, nada más salir de Harvard, Ritchie empezó a trabajar en la misma empresa que su padre, Bell Labs, por entonces el centro de investigación de nuevas tecnologías de la telefónica ATT y hoy propiedad de Alcatel Lucent. En una vieja entrevista, este hacker de la primera ola recordó cómo había rechazado colaborar con Sandia National Laboratories, especializada en la investigación en armamento nuclear. "Pero eso fue alrededor de 1968", dijo a The New York Times, "y hacer bombas atómicas para el Gobierno no parecía en sintonía con los tiempos", añadió.
Dmr, apodo con el que era conocido Ritchie en la escena hacking de entonces, se encontró en Bell Labs con algunos de los pioneros de la moderna informática. El desarrollo de Unix y C fue casi en paralelo. Buscaban crear un nuevo sistema operativo y para ello necesitaban un nuevo lenguaje de programación.
Hasta la llegada de Unix (en 1971), las computadoras se vendían a grandes empresas, organismos del Gobierno y universidades con todo su software empaquetado. Por el contrario, Unix era portátil, se podía instalar en diferentes máquinas. También fue diseñado con dos de las características que hoy definen a los ordenadores: multitarea y multiusuario.
El estadounidense recibió el Premio Turing, el Nobel de la tecnología
A esta filosofía abierta se unió el hecho de que ATT tenía prohibido meterse en otros negocios que no fueran la telefonía. Eso le obligó a licenciar Unix y dar acceso a su código. Los investigadores se abalanzaron sobre él y, mitad por obligación, mitad por convicción, propiciaron el nacimiento del movimiento del código abierto.
Aunque la primera versión de Unix se creó con otro programa, dmr y sus colegas crearon un nuevo lenguaje de programación para rehacer su flamante sistema operativo. C nació del fracaso de un anterior programa pedido por los jefes de ATT. Ritchie y sus compañeros querían que Unix pudiera usarse en cualquier máquina (la fabricada por cada compañía era incompatible con las demás) y para conseguir esta multiplataforma necesitaban reescribir Unix y para eso crearon C. Sin embargo, C ha servido para mucho más. Este lenguaje (o sus hijos, como C++) está en la base de la práctica totalidad de los programas que se usan para hacer otros programas, como PHP, Perl, Java, Ruby... Y con ellos se crean las páginas web de Facebook o Amazon, el Office de Microsoft, el Android de Google o los navegadores TomTom.
A pesar de que Ritchie recibió el Premio Turing, una especie de Nobel de la tecnología, muy pocos sabían quién era cuando se supo de su muerte. Una posible razón la ofrece en la revista Wired el profesor del MIT, Martin Rinard: "Jobs era el rey de lo visible, y Ritchie es el rey de lo que es en gran medida invisible".
|
|
Written by hispasec.com
|
|
Wednesday, 07 September 2011 12:56 |
|
DigiNotar: La tercera revocación masiva en 10 años --------------------------------------------------
Hoy Microsoft ha publicado en forma de actualización automática su tercera revocación masiva en 10 años... y la segunda de 2011. Y no solo ha avanzado en número sino en "calidad" de las revocaciones. El incidente del compromiso de DigiNotar ha disparado las dudas sobre el funcionamiento PKI. Y lo peor es que parece que lo interesante está por llegar.
Marzo 2001. VeriSign
VeriSign, la empresa líder en emisión de certificados para Internet, protagonizó en marzo de 2001 uno de los fiascos más importantes de su historia. Emitieron dos certificados a un impostor que se hizo pasar por trabajador de Microsoft. Esto hubiera permitido, por ejemplo, firmar programas o cualquier software malicioso como si fueran aplicaciones originales de Microsoft. McAfee y Symantec se apresuraron en anunciar que sus antivirus cuentan con actualizaciones para detectar los certificados fraudulentos, como si de un virus se tratara. Los certificados fueron revocados en la actualización de Microsoft MS01-017. El origen del fallo fue el protocolo de validación, usando la ingeniería social.
Este era el aspecto por defecto (hasta marzo de 2011) del manejador de certificados de cualquier Windows (ejecutar certmgr.msc en la línea de comandos):
http://blog.hispasec.com/laboratorio/images/noticias/cert1.png
Marzo 2011. Comodo
Comodo reconoció que un atacante con IP de Irán se hizo con usuario y contraseña de una autoridad secundaria de Comodo en el sur de Europa. El atacante utilizó estos datos para hacerse pasar por esa autoridad secundaria y emitir certificados fraudulentos de páginas como login.live.com, mail.google.com, www.google.com, login.yahoo.com, login.skype.com, addons.mozilla.org...
Si en la ocasión anterior se revocaron certificados de firma de código, era la primera vez que se hacía una revocación masiva de certificados SSL y a nivel de dominios importantes.
Este era el aspecto por defecto (hasta septiembre de 2011) del manejador de certificados de cualquier Windows:
http://blog.hispasec.com/laboratorio/images/noticias/cert2.png
Septiembre 2011. DigiNotar
Al parecer, el mismo intruso que consiguió emitir los certificados fraudulentos de Comodo, compromete por completo la compañía DigiNotar (de Vasco) y se detectan certificados de decenas de dominios importantes. La "calidad" de la revocación aumenta, y no sólo se invalidan certificados concretos por "fraudulentos" sino a la entidad entera (sus certificados raíz) por "no confiables". El atacante entró hasta el último recodo de la empresa.
Este es el aspecto del manejador de certificados de cualquier Windows actual:
http://blog.hispasec.com/laboratorio/images/noticias/certfraud.png
Futuro...
Rota por completo la confianza en DigiNotar, probablemente desaparezca o, como se suele hacer, cambiará de nombre para intentarlo de nuevo.
GlobalSign, otra importante empresa certificadora, acaba de confirmar que ha sufrido una intrusión.
El atacante iraní que afirma ser el autor del compromiso de DigiNotar, también asegura tener acceso a otras entidades certificadoras y la posibilidad de emitir nuevos certificados falsos.
Aunque PKI esté concebida para sufrir este tipo de revocaciones ocasionales, el hecho de que se utilicen con tanta asiduidad merma la confianza en el modelo. Además en dispositivos móviles, por ejemplo, cada vez más utilizados para navegar, no es tan sencillo actualizar y revocar certificados...
Habrá que estar atentos. |
|
|
|
|
<< Start < Prev 1 2 3 Next > End >>
|
|
Page 1 of 3 |
|
|
|
|