Tiempo de leer: 2 minutos
Se identificó una vulnerabilidad SSL/TLS que los atacantes podrían usar para degradar la criptografía de las conexiones HTTPS a una vulnerable al descifrado. permitiendo a los atacantes escuchar las comunicaciones entre un navegador y un servidor. La gravedad de esta vulnerabilidad es extremadamente alta porque los atacantes pueden usarla para obtener credenciales de inicio de sesión para sistemas confidenciales, como sitios bancarios, para cometer fraude financiero.
Esto recuerda las vulnerabilidades recientes de Heartbleed y POODLE que también podrían explotarse para comprometer la comunicación cifrada.
La vulnerabilidad, apodada ataque FREAK, involucra código del proyecto OpenSSL como lo hizo Heartbleed el año pasado. Sin embargo, el impacto varía según los navegadores de diferentes proveedores.
Se ha confirmado que los navegadores Apple Safari y Android son vulnerables. Sin embargo, Chrome no se ve afectado, ni Internet Explorer ni Firefox.
¿Cómo pudo pasar esto?
En la década de 1990, el gobierno de los EE. UU. quería controlar la exportación de lo que consideraban encriptación de "grado de armas". Permitirían que el fuerte cifrado de 128 bits, para su época, se usara en los EE. UU., pero los federales querían que los servicios de inteligencia y las fuerzas del orden de los EE. UU. tuvieran "puertas traseras" en lo que respecta a las comunicaciones con el exterior. Se introdujo un paquete de cifrado débil de 40 bits denominado "grado de exportación" para uso fuera de los Estados Unidos que las autoridades estadounidenses podrían romper si fuera necesario.
Si bien la mayoría de los navegadores no han sido compatibles con las suites de 40 bits durante años, están presentes en hasta un tercio de las bibliotecas y navegadores SSL. Si la suite está presente en un navegador, un atacante puede montar lo que se conoce como un "ataque de degradación", forzando el uso de la suite de cifrado débil. Usando un ataque del hombre en el medio, el atacante inserta un proceso entre el navegador y el servidor para interceptar y descifrar sus mensajes.
Desafortunadamente, esta función todavía está integrada en muchos servidores web, hasta en un tercio. Un atacante puede obligar a los clientes y servidores vulnerables a utilizar cifrados débiles de grado de exportación en las conexiones HTTPS, interceptar, descifrar o alterar los mensajes que interceptan mediante un ataque de intermediario.
¿Qué debes hacer?
Para que este tipo de ataque tenga éxito, tanto el servidor web como el navegador de la víctima deben ser vulnerables. Si opera un servidor web, debe deshabilitar el soporte para cualquier suite de exportación y todos los cifrados inseguros conocidos. A continuación, debe habilitar el secreto de reenvío. Mozilla ha publicado una guía y un generador de configuración SSL, que generará buenas configuraciones conocidas para servidores comunes.
Para los usuarios de la web, puede verificar si su navegador es vulnerable en este sitio:
https://freakattack.com/clienttest.html
Apple y Google se están apresurando a solucionar los problemas de su navegador, pero este podría ser un buen momento para probar el navegador basado en Chromium de Comodo. Comodo Dragon o el basado en Firefox Dragón de hielo de Comodo. Ambos tienen características de privacidad y seguridad inigualables y se pueden descargar gratis.
PRUEBA GRATUITA OBTENGA SU TARJETA DE SEGURIDAD INSTANTÁNEA GRATIS
- Distribución de relaciones públicas y contenido potenciado por SEO. Consiga amplificado hoy.
- PlatoAiStream. Inteligencia de datos Web3. Conocimiento amplificado. Accede Aquí.
- Acuñando el futuro con Adryenn Ashley. Accede Aquí.
- Compra y Vende Acciones en Empresas PRE-IPO con PREIPO®. Accede Aquí.
- Fuente: https://blog.comodo.com/comodo-news/freak-attack-warning-apple-google-devices-vulnerable/
- :posee
- :es
- :no
- 40
- 7
- a
- Todos
- permitir
- Permitir
- también
- American
- an
- y
- android
- cualquier
- Apple
- somos
- AS
- At
- atacar
- Autoridades
- Bancario
- basado
- BE
- porque
- esto
- entre
- Poco
- Blog
- ambas
- Descanso
- cada navegador
- navegadores
- construido
- pero
- by
- llegó
- PUEDEN
- comprobar
- Chrome
- cromo
- cifra
- clic
- clientes
- código
- COM
- hacer
- Algunos
- Comunicación
- Comunicaciónes
- Noticias de Comodo
- compromiso
- Configuración
- Confirmado
- Conexiones
- considerado
- control
- podría
- Referencias
- criptografía
- día
- Descifrar
- Dispositivos
- HIZO
- una experiencia diferente
- do
- Degradar
- descargar
- habilitar
- cifrado
- cifrado
- cumplimiento
- Evento
- Explotado
- explorador
- exportar
- extremadamente
- Feature
- Caracteristicas
- Federales
- financiero
- fraude financiero
- Firefox
- FORCE
- extranjero
- adelante
- fraude
- Gratuito
- Desde
- generar
- generador
- obtener
- candidato
- Gobierno
- grado
- guía
- suceder
- Tienen
- Heartbleed
- Alta
- Sin embargo
- HTML
- http
- HTTPS
- no haber aun identificado una solucion para el problema
- if
- Impacto
- in
- información
- inseguro
- Insertos
- instantáneo
- Intelligence
- Internet
- Internet Security
- Introducido
- cuestiones
- IT
- SUS
- jpg
- conocido
- Apellido
- El año pasado
- de derecho criminal
- aplicación de la ley
- bibliotecas
- Inicie sesión
- hombre
- muchos
- max-ancho
- la vida
- Ed. Media
- podría
- MEJOR DE TU
- MONTE
- Mozilla
- debe
- noticias
- obtener
- of
- on
- ONE
- openssl
- funcionar
- or
- afuera
- Platón
- Inteligencia de datos de Platón
- PlatónDatos
- presente
- política de privacidad
- Privacidad y Seguridad
- proyecto
- publicado
- reciente
- referido
- recordativo
- s
- Safari
- tanteador
- EN LINEA
- envío
- sensible
- Servidores
- Servicios
- tienes
- página web
- Sitios Web
- SSL
- Zonas
- Sin embargo
- fuerte
- tener éxito
- tal
- suite
- SOPORTE
- Soportado
- Todas las funciones a su disposición
- esa
- La
- su
- luego
- ellos
- Código
- así
- equipo
- a
- try
- tipo
- nosotros
- Del gobierno de EE.UU.
- United
- Estados Unidos
- sin par
- us
- utilizan el
- usado
- usuarios
- usando
- vendedor
- Vulnerabilidades
- vulnerabilidad
- Vulnerable
- deseado
- advertencia
- fue
- web
- servidor web
- ¿
- Que es
- cuando
- que
- seguirá
- se
- año
- años
- Usted
- tú
- zephyrnet