El Blog de Machinarium021

Software libre y tecnología en general.



FREAK una vulnerabilidad en HTTPS que existe desde los 90's

HTTPS

En los 90's el gobierno de Estados Unidos se dio cuenta de que la próxima guerra se libraría en la red, es por eso que la administración Clinton exigió un algoritmo de cifrado débil que pudiera ser explotado en todo software que se conectara a internet, pero únicamente para los productos que fueran vendidos en el exterior. Dicho metodo de cifrado poco a poco se volvió un estándar en cualquier servidor o dispositivo vendido no solo afuera, también dentro del territorio norteaméricano.

Esta vulnerabilidad plantada a proposito vuelve como si se tratara de un fantasma del pasado ya que aunque se ha mejorado el método de cifrado utilizado en diferentes dispositivos, siempre se ha utilizado este método defectuoso por cuestiones de compatibilidad.

El resultado obtenido es una nueva vulnerabilidad descubierta que afecta conexiones TLS/SSL, llamado FREAK y que permite hacer ataques man-in-the-middle aunque utilicemos una conexión HTTPS.

La lista de sitios vulnerables es extensa y cubre varios de los 10000 sitios con mejor ranking de Alexa, también existe el problema de que los dispositivos con Android y iOS no están protegidos contra esta vulnerabilidad, también el problema persiste en Internet Explorer 11 para Windows Technical Preview aunque Windows y GNU/Linux en general están protegidos.

¿Qué puedes hacer?

freak-attack

Lo más recomendable es utilizar las últimas versiones de Firefox o Chrome, en el caso de usar Android debes utilizar estos navegadores u Opera y evitar el uso del navegador integrado que trae el sistema operativo. Apple estará presentando una actualización para OSX y iOS en los próximos días, pero Google no ha hecho mención al respecto.

Si deseas probar si eres vulnerable a este fallo, puedes entrar al sitio web Freakattack.com.

Blog Logo

Richard Armuelles

Frontend, Mozilla Reps, Blogger, Speaker & Free Software Evangelist

  • Panama
comments powered by Disqus