Historias
Slashboxes
Comentarios
 
Búsqueda
Este hilo ha sido archivado. No pueden publicarse nuevos comentarios.
Vulnerabilidad grave en OpenSSL | Log in/Crear cuenta | Top | 24 comentarios | Buscar hilo
Mostrar opciones Umbral:
Y recuerda: Los comentarios que siguen pertenecen a las personas que los han enviado. No somos responsables de los mismos.

  • Quien ha hablado de servidores?

    (Puntos:5, Informativo)
    por pobrecito hablador el Viernes, 05 Marzo de 2010, 18:26h (#1207042)
    Estos ataques existen desde hace bastante, no se por que OpenSSL no tiene contramedidas. Es una cagada casi-casi al nivel de la de Debian.

    http://en.wikipedia.org/wiki/Power_analysis [wikipedia.org]

    http://www.cryptography.com/resources/whitepapers/ DPA.html [cryptography.com]

    Y no se trata de tener acceso a un servidor, aunque por si acaso pensad en entornos tipo hosting... mas bien pensad en la enorme cantidad de dispositivos móviles que internamente pueden usar OpenSSL , o sistemas críticos como sensores, actuadores, SCADA, etc, y que obtener el componente privado de la clave RSA puede servir para romper los sistemas de autenticación, actualizaciones, y un largo etc.

  • ¿Grave?

    (Puntos:2, Divertido)
    por pobrecito hablador el Viernes, 05 Marzo de 2010, 18:35h (#1207043)
    Aquí tienen otro ejemplo: Grave vulnerabilidad en el CPD de google. Sólo se requiere que yo tenga acceso físico al teclado... (o a un hacha, depende del ataque)

  • ¿A un servidor?

    (Puntos:1, Interesante)
    por pobrecito hablador el Viernes, 05 Marzo de 2010, 18:38h (#1207045)
    ¿Ataques por fluctuación de energia a un servidor?¿de esos que tienen cientos de threads corriendo, pesan 5 kilos y estan conectados a la red electrica a 220V? ¿o esque hay servidores que funcionan con chips criptograficos? que no lo sé.

  • estupido

    (Puntos:1, Divertido)
    por pobrecito hablador el Viernes, 05 Marzo de 2010, 19:10h (#1207051)
    Cualquier "aparato" que sometas a fluctuaciones electricas se puede petar totalmente, pero de ahi a considerarlo un bug va un rato.

    Ahora resultara que el desarrollador tambien tiene que hacer pruebas con el enchufe de su casa xD

  • Tonterías aparte

    (Puntos:5, Informativo)
    por pedro_fortuny (29526) el Viernes, 05 Marzo de 2010, 20:18h (#1207059)
    Es una vulnerabilidad grave porque los usuarios normales pueden estar sometidos a ella. Es una vulnerabilidad grave porque EL ALGORITMO PERMITE ALGO QUE NO DEBE. El hecho de que "se pueda teóricamente" conseguir la clave privada sin saltarse las reglas del juego (es decir, sin "robar" la clave, claro), por la implementación del algoritmo es un tipo específico de vulnerabilidad. Es decir, el algoritmo (la implementación) TRANSMITE INFORMACIÓN y no debería hacerlo. Sorry, pero es serio, aunque sea poco factible.

  • Con paciencia y con saliva...

    (Puntos:2)
    por Bilkibar (35404) el Sábado, 06 Marzo de 2010, 06:00h (#1207121)
    ( http://www.roscachapa.com/ | Última bitácora: Lunes, 24 Noviembre de 2008, 07:50h )
    El elefante se la metió a la hormiga. A ver quién es el guapo que se tira 100 horas para sacar una clave privada sin que le descubran antes de conseguirla.
    --
    1. Reinicié el ordenador. 2. Apagué y encendí el "ruter". 3. Llamé al servicio técnico.

  • Y aún teniendo acceso físico

    (Puntos:1, Interesante)
    por pobrecito hablador el Sábado, 06 Marzo de 2010, 07:32h (#1207124)
    Y aún teniendo acceso físico, ¿Donde habría que crear esas fluctuaciones? En la toma de alimentación de las fuentes no creo que sirva de nada ya que soportan ese tipo de fallos. En la salida de la fuente, en un servidor medianamente "caro" tampoco ya que las placas tienen reguladores que soportarían hasta cierto margen estas fluctuaciones. No sé, me parece que han conseguido eso en unas condiciones muy específicas con un hardware y provocando el fallo en un sitio en concreto de ese hardware. Para reproducir ese mismo error fuera de esas conciciones, igual no bastan 100 horas solamente para averiguar donde se debe hacer "eso" que han hecho en el experimento.
    T
    --
    De lo que oigo no creo nada, de lo que veo solo la mitad

  • Re:Jack Bauer

    (Puntos:1)
    por bolinches (8100) el Sábado, 06 Marzo de 2010, 13:02h (#1207180)
    ( http://barrapunto.com/ )
    Mr Norris subiendo un parche???? Da una patada giratoria y el bug se va cagando leches. Chuck Norris NO SUBE PARCHES
    --
    "Computer science is not about computers any more than astronomy is about telescopes." E.W. Dijkstra (1930-2002)
    [ Padre ]
  • 3 respuestas por debajo de tu umbral de lectura actual.