Resultados 1 al 4 de 4

Lanzan herramienta para realizar ataques DDoS aprovechando debilidades SSL

  1. #1 Lanzan herramienta para realizar ataques DDoS aprovechando debilidades SSL 
    Colaborador HH
    Fecha de ingreso
    Sep 2006
    Ubicación
    Argentina
    Mensajes
    2.073
    Descargas
    16
    Uploads
    0
    En la primer estación de este viaje imaginario por la seguridad, encontramos al grupo alemán de hackers conocido como THC (The Hackers Choice) quienes han lanzado oficialmente una nueva herramienta para realizar ataques de denegación de servicio DDoS, aprovechando una debilidad de SSL para implantar un servidor de Internet.

    Los detalles técnicos se pueden encontrar en http://www.thc.org/thc-ssl-dos
    Uno de los miembros anónimos de THC comentó “Hemos decidido hacer el lanzamiento oficial después de darnos cuenta de que esta herramienta se filtró a la opinión pública hace un par de meses”.


    La herramienta se aleja de las herramientas DDoS tradicionales: No requiere ningún ancho de banda y sólo una computadora para el ataque (“bot”).

    Es de esperar que la falla de seguridad SSL no pase desapercibida. La industria debe intervenir para resolver el problema, para que los usuarios estén a salvo y seguros de nuevo. SSL utiliza un método perimido para la protección de los datos privados, resulta complejo, innecesario y no apto para el siglo 21, existen tres vulnerabilidades descriptas de SSL en los últimos 3 años y no se ven soluciones en el horizonte.

    Sobre la lista de las 3 principales vulnerabilidades de SSL aquí THC tiene opinión formada: “En 2009 se dió a conocer una vulnerabilidad que rompió el cifrado de SSL. De hecho vulneró todo el tráfico SSL seguro. En 2011 diversas entidades de certificación han pirateado el tráfico SSL seguro. ”
    Fred Mauer, un criptógrafo senior de THC ya en 2002 advirtió que cientos de empresas comerciales (llamadas Autoridades de Certificación) tenían una llave maestra para todo el tráfico SSL. Sólo un verdadero genio puede llegar a esa idea.

    Por último -pero no menos importante- en necesario destacar la inmensa complejidad de Renegociación de SSL que es atacada de nuevo en 2011 con el lanzamiento de THC-SSL-DOS.

    Es hora de un nuevo modelo de seguridad que protege adecuadamente a los ciudadanos.

    La herramienta de THC-SSL-DOS es una prueba de concepto para divulgar la que han vulnerado la seguridad en SSL. Funciona muy bien si el servidor admite Renegociación de SSL. También funciona si no es compatible con la si Renegociación SSL, pero requiere algunas modificaciones.

    Las pruebas revelan que el servidor de medios puede ser bajado de una notebook única, a través de una conexión estándar DSL.

    Es interesante comprobar que una característica de seguridad que se suponía iba a hacer más seguro SSL lo hace -de hecho- más vulnerables a este ataque:

    La renegociación de SSL se inventó para renegociar el material clave de una conexión SSL. Esta característica se utiliza muy poco. Rotundamente no pudimos encontrar ningún software que utiliza la Renegociación de SSL. Sin embargo, está activada por defecto por mayoría de los servidores.

    Un viejo proverbio de datacenter se cumple una vez más: La complejidad es la peor enemiga de la seguridad.

    Renegociar el material clave es una idea estúpida desde un punto de vista criptográfico. Si usted no está satisfecho con el material clave negociado en el inicio de la sesión, después de la sesión debe ser re-establecido y no re-negociado.

    Fuente
    "¿Acaso vuestro terror se asemeja al del despotismo? Si, la espada que brilla en las manos de los héroes de la libertad se asemeja a la espada con la que están armados los esbirros de la tiranía."
    Citar  
     

  2. #2  
    Avanzado
    Fecha de ingreso
    Oct 2009
    Mensajes
    200
    Descargas
    28
    Uploads
    0
    interesante, se agradece.
    Citar  
     

  3. #3  
    Medio
    Fecha de ingreso
    Oct 2011
    Mensajes
    64
    Descargas
    0
    Uploads
    0
    Gran traducción de Google
    Citar  
     

  4. #4  
    Moderador Global Avatar de hystd
    Fecha de ingreso
    Jul 2005
    Ubicación
    1, 11, 21, 1211...
    Mensajes
    1.596
    Descargas
    58
    Uploads
    0
    jejeje, sw00n, eres la leche destapando las cuestiones de segundo plano... aquellas que todos pensamos, pero nadie tiene la ocurrencia de decirlo... xD

    Por cierto, interesante noticia, la verdad es que es ingeniosa.
    El optimista tiene ideas, el pesimista... excusas

    Citar  
     

Temas similares

  1. Respuestas: 1
    Último mensaje: 22-01-2016, 23:28
  2. ¿Programas para realizar ataques DDoS?
    Por 3DX en el foro INTRUSION
    Respuestas: 2
    Último mensaje: 03-10-2015, 19:00
  3. DDoS aprovechando los servidores de Google+
    Por LUK en el foro NOTICIAS
    Respuestas: 1
    Último mensaje: 31-08-2011, 16:48
  4. Respuestas: 0
    Último mensaje: 24-08-2010, 14:08
  5. Respuestas: 0
    Último mensaje: 29-01-2009, 14:47

Marcadores

Marcadores