uede que esta sea mi última entrada «pers-se» en este Blog, puesto que dentro de poco tendré el mio activo (Zalo, tenemos que ver como hacer para configurar una publicación automática desde mi wordpress) el caso es que hoy escribo para contaros de una Gravísima vulnerabilidad en sistema unix, como puede ser cualquier linux, macOs, open BSD o FreeBSD y de la comparación a windows.
n concreto han detectado que bajo ciertas circunstancias, un supuesto atacante puede obtener partes de una clave criptográfica privada RSA de 1024 bits creada por la librería Open SSL. Bien para que sepais qué es eso de Clave privada y clave pública, una pequeña explicación con un ejemplo: La criptografía RSA se basa en un par de llaves, una pública y una privada, de esta manera yo encripto o Firmo (firmar es el proceso de encriptar un contenido conocido tanto por el emisor como por el receptor, para comprobar la validez de las llaves) un mensaje/contenido con mi clave privada, y el receptor ha de tener mi clave pública para poder desencriptar el mensaje. Notar que sólo la clave pública es quién de desencriptar el mensaje que ha sido encriptado con la clave privada. Este proceso también funciona a la inversa, de la manera que el receptor puede encriptar un mensaje con la clave pública y solo el poseedor de la clave privada podrá desencriptarlo.
tilidad: Pues bien este sistema se esta usando en muchisimos dispositivos para validar la legalidad y seguridad de las transmisiones; como por ejemplo en las compras online se usan este tipo de llaves para asegurar la transferencia de la información bancaria, el banco tiene su clave privada, (generada y firmada por empresas como Verising) y el navegador tiene una lista de claves públicas, de esta manera todos podemos encriptar la información para enviarla pero solo el banco puede desencriptarla. Otra utilidad muy curiosa de la que me entere hace unos días era de una calculadora gráfica (una especie de super tarjeta gáfica) fabricada por TEXAS Instruments, la cual para instalarle un firmware, este debía venir firmado por el fabricante, y así en adelante, existen mogollón de ejemplos de uso de criptografía RSA.
hora viene lo curioso, las circunstancias mediante el cual se pueden obtener esas claves privadas, mientras en windows, una o tropecientas vulnerabiliades son como un Feature del mismo, y ya a nadie le sorprende, en el mundo del software empresarial se esta creando un gran revuelo por que el ataque para conseguir partes, y pongo énfasis en la palabra partes, de la clave RSA; consiste en generar fluctuaciones eléctricas en el procesador mientras este esta realizando operaciones de desencriptado con la clave que queremos obtener, y realizando una serie más de pasos, la libreria Openssl, y únicamente ésta nos escupirá partes de la tan deseada clave, luego tendremos que ir juntando y ordenando los cachos a base de prueba error y así por fin obtener una clave privada valida para lo que queremos, eso sí teniendo en cuenta que la media de tiempo son 100 Horas de ataque.
n definitiva, en el año 1995, nos encontramos con una guapísima Angelian Jolie, alias «Acid Burn», la cual debe de infiltrarse en la red de suministros eléctrico para así provocar susodichas fluctuaciones eléctricas y así esperar a que la librería OpenSLL escupa partes de la clave (que putada si esa maquina gestiona mas de una clave) ha de obtener la clave RSA privada del malvado hacker y así salvar el mundo. Para eso prefiero salvar a la animadora que acabamos antes.
hh sin olvidarnos de las mas de 100 horas que pasa allí en central station colgada del portátil, 100 horas son 4 días u unas horas teniendo en cuenta que no duerme, no come, no nada…
n fin que es un tema delicado lo de la librería OpenSSL pero que se le esta dando mas publicidad de lo que debería, por que sobre todo es publicidad negativa y luego dirán que linux es inseguro por que lo dicen las noticias…… en fin, ahí queda esta entrada Un Saludo y pa cama todos.
voy a ser como Javi, echadle un vistazo a mi nueva web http://andresbott.suiadan.com y me comentáis (aún no está lista del todo).
3 comentarios en “Grave vulnerabiliad”
Es curioso. He visto la pelicula de «Hackers, piratas informáticos» por primera vez hace un par de semanas y pensé que todo lo que salía en la misma era una absoluta fantasmada. Ahora veo que no.
Por cierto la, por aquellos tiempos jovencisima, Angelina Jolie no llamaba tanto la atención. Debía de ser el peinado que le pusieron en la peli y que aún no se había operado las tetas (auque ya eran bien grandes).
PD: ¿¿¿Cómo es posible que no tengas ni una sola falta de ortografía??? Hasta has puesto todas las tildes!! Esto me huele a corrector ortográfico….
Pero tú qué mirabas, la película o las tetas de la Angelina? 😯 Anda que…jejeje. 😆
Odo, yo estuve mirando el blog y está muy bien. Muy buen diseño y fácil de navegar.