FENÓMENO


De Wikipedia, la enciclopedia libre
Saltar a navegación Saltar a búsqueda

FREAK (" Factorización de claves de exportación RSA ") es una explotación de seguridad de una debilidad criptográfica en los protocolos SSL / TLS introducidos décadas antes para cumplir con las regulaciones de exportación de criptografía de EE . UU . Estos implicaron limitar el software exportable para usar solo pares de claves públicas con módulos RSA de 512 bits o menos (las llamadas claves RSA_EXPORT ), con la intención de permitir que la Agencia de Seguridad Nacional las rompa fácilmente.(NSA), pero no por otras organizaciones con menores recursos informáticos. Sin embargo, a principios de la década de 2010, los aumentos en la potencia informática significaron que cualquier persona con acceso a recursos informáticos relativamente modestos podría romperlos utilizando el conocido algoritmo Number Field Sieve , utilizando tan solo $ 100 en servicios de computación en la nube . Combinado con la capacidad de un ataque man-in-the-middle para manipular la negociación inicial del conjunto de cifradoentre los puntos finales en la conexión y el hecho de que el hash finalizado solo dependía del secreto maestro, esto significaba que un ataque man-in-the-middle con solo una modesta cantidad de cálculo podría romper la seguridad de cualquier sitio web que permitiera el uso de claves de grado de exportación de 512 bits. Si bien el exploit solo se descubrió en 2015, sus vulnerabilidades subyacentes habían estado presentes durante muchos años, desde la década de 1990.

Vulnerabilidad

La falla fue encontrada por investigadores de IMDEA Software Institute , INRIA y Microsoft Research . [1] [2] El ataque FREAK en OpenSSL tiene el identificador CVE - 2015-0204 . [3]

Software y dispositivos vulnerables incluyen de Apple 's navegador web Safari , el navegador por defecto en Google ' s Android sistema operativo, Microsoft 's Internet Explorer , y OpenSSL . [4] [5] Microsoft también ha declarado que su implementación SChannel del cifrado de la capa de transporte es vulnerable a una versión del ataque FREAK en todas las versiones de Microsoft Windows . [6] El ID de CVE para la vulnerabilidad de Microsoft en SChannel es CVE - 2015-1637 . [7]El ID de CVE para la vulnerabilidad de Apple en el transporte seguro es CVE - 2015-1067 . [8]

Los sitios afectados por la vulnerabilidad incluyeron los sitios web del gobierno federal de EE. UU. Fbi.gov, whitehouse.gov y nsa.gov, [9] con alrededor del 36% de los sitios web que utilizan HTTPS probados por un grupo de seguridad que se mostró vulnerable al exploit. [10] Según el análisis de geolocalización utilizando IP2Location LITE, el 35% de los servidores vulnerables se encuentran en los EE. UU. [11]

Los informes de prensa sobre el exploit han descrito sus efectos como "potencialmente catastróficos" [12] y una " consecuencia no intencionada " de los esfuerzos del gobierno de Estados Unidos para controlar la expansión de la tecnología criptográfica. [9]

En marzo de 2015 , los proveedores estaban en proceso de lanzar un nuevo software que solucionaría la falla. [9] [10] El 9 de marzo de 2015, Apple lanzó actualizaciones de seguridad para los sistemas operativos iOS 8 y OS X que corrigieron esta falla. [13] [14] El 10 de marzo de 2015, Microsoft lanzó un parche que solucionó esta vulnerabilidad para todas las versiones compatibles de Windows (Server 2003, Vista y posteriores). [15] Google Chrome 41 y Opera 28 también han mitigado este defecto. [16] Mozilla Firefox no es vulnerable a este defecto. [17]

El artículo de investigación que explica esta falla se publicó en el 36º Simposio de IEEE sobre seguridad y privacidad y recibió el premio al artículo distinguido. [18]

Ver también

  • BESTIA (seguridad informática)
  • INCUMPLIMIENTO (exploit de seguridad)
  • CRIME (exploit de seguridad)
  • Logjam (seguridad informática)
  • CANICHE
  • Criptografía controlada por servidor

Referencias

  1. B. Beurdouche y otros (18 de mayo de 2015). "Un desordenado estado de la Unión: domesticar las máquinas de estado compuesto de TLS" (PDF) . Seguridad y privacidad IEEE 2015.
  2. ^ "Ataques de máquina de estado contra TLS (SMACK TLS)" . smacktls.com .
  3. ^ "Resumen de vulnerabilidad para CVE-2015-0204" . NIST. 20 de febrero de 2015.
  4. Thomas Fox-Brewster (3 de marzo de 2015). "What the FREAK? Por qué los usuarios de Android y iPhone deben prestar atención a la última vulnerabilidad en caliente" . Forbes .
  5. Steven J. Vaughan-Nichols (3 de marzo de 2015). "FREAK: Otro día, otro grave agujero de seguridad SSL" . ZDNet.
  6. ^ Darren Pauli (6 de marzo de 2015). "Todas las versiones de Microsoft Windows son vulnerables a FREAK" . El registro.
  7. ^ "Aviso de seguridad de Microsoft 3046015: una vulnerabilidad en Schannel podría permitir la omisión de la función de seguridad" . Microsoft. 5 de marzo de 2015.
  8. ^ "Acerca del contenido de seguridad de iOS 8.2" . apple.com .
  9. ↑ a b c Craig Timberg (3 de marzo de 2015). " La falla ' FREAK' socava la seguridad de los usuarios de Apple y Google, descubren los investigadores" . Washington Post .
  10. ↑ a b Dennis Fisher (3 de marzo de 2015). "Nuevo ataque FREAK amenaza a muchos clientes SSL" . Threatpost.
  11. ^ "FREAK servidores por país" . 2015-03-03.
  12. ^ Dan Goodin (3 de marzo de 2015). " Fallo " FREAK "en dispositivos Android y Apple paraliza la protección de cifrado HTTPS" . Ars Technica.
  13. ^ "Acerca de la actualización de seguridad 2015-002" . Manzana. 9 de marzo de 2015.
  14. ^ "Acerca del contenido de seguridad de iOS 8.2" . Manzana. 9 de marzo de 2015.
  15. ^ "Boletín de seguridad de Microsoft MS15-031 - Importante" . Microsoft. 10 de marzo de 2015.
  16. ^ "Ataques de máquina de estado contra TLS (SMACK TLS)" . smacktls.com .
  17. ^ "Microsoft admite que los usuarios de Windows son vulnerables a los ataques FREAK" . eweek.com .
  18. ^ "Premio de papel distinguido IEEE por un estado desordenado de la Unión: domesticar las máquinas de estado compuesto de TLS" . 2015-05-18.

enlaces externos

  • https://www.smacktls.com/
  • https://web.archive.org/web/20150304002021/https://freakattack.com/
  • https://tools.keycdn.com/freak/
  • https://infogr.am/https_sites_that_support_rsa_export_suites
  • http://www.sitemeer.com/
Obtenido de " https://en.wikipedia.org/w/index.php?title=FREAK&oldid=1008355528 "