Vulnerabilidad Logjam que intercepta datos cifrados

Noticias

Diffie­Hellman es un algoritmo criptográfico popular que permite a los protocolos de Internet acordar una clave compartida y negociar una conexión segura. Es fundamental para muchos protocolos incluyendo HTTPS, SSH, IPsec, SMTPS y protocolos que se basan en TLS.

 

La sombra de «Heartbleed» pasea de nuevo. Un grupo de investigadores formado por expertos en seguridad informática entre ellos franceses, norteamericanos, centros universitarios, e ingenieros de Microsoft, han descubierto una grave vulnerabilidad que es capaz de interceptar datos cifrados.

 

La vulnerabilidad informática detectada en un algoritmo de los sistemas de cifrado y permite espiar comunicaciones supuestamente seguras. De esta manera, decenas de miles de sitios web HTTPS, servidores de correo y otros servicios son vulnerables al espionaje debido a un defecto en los algoritmos criptográficos.

 

Proveedores de antivirus ya han sido alertados y preparan una solución al respecto. Los expertos creen que el 8% de las páginas que incluyen protocolos de seguridad HTTPS son «vulnerables», por lo que este icono situado en la barra de direcciones del navegador tampoco garantizaría a los usuarios comunicaciones totalmente privadas.

 

Este «bug» afecta a varios servicios de correo electrónico que utilizan el protocolo de cifrado Transport Layer Security (TLS) y, según los expertos, puede ocasionar posibles intromisiones ilegítimas. El fallo se beneficia de Diffie­Hellman, un protocolo criptográfico de establecimiento de claves entre partes que no han tenido contacto previo utilizando un canal inseguro y de manera anónima (no autentificada). Esta fue una de las primeras técnicas desarrolladas para permitir que dos o más partes crearan y compartieran una clave de cifrado. Este sistema es fundamental para otros protocolos informáticos como HTTPS, IPsec, SMTPS o SSH.

 

El informe asegura que los navegadores más populares como Chrome, Firefox, Safari o Internet Explorer son susceptibles y pueden ser afectados por este «bug», por lo que empresas como Google o Microsoft ya trabajan en resolverlo. Pese a todo esto, diversos expertos aseguran que los usuarios no deben preocuparse al respecto, ya que para aprovecharse de la vulnerabilidad los «hackers» y el objetivo deben estar en la misma red.

 

¿A quién afecta?

 

Protocolo Vulnerables al Logjam
HTTPS ­ Top 1 Millón de Dominios 8.4 %
HTTPS ­ Navegador Sitios de confianza 3,4%
SMTP + StartTLS ­ espacio de direcciones IPv4 14,8%
POP3S ­ Espacio de direcciones IPv4 8,9%
IMAPS ­ Espacio de direcciones IPv4 8,4%

 

Los sitios web que utilizan uno de los pocos grupos de 1024 bits Diffie­Hellman compartidos pueden ser susceptibles a la escucha pasiva de un atacante con recursos del Estado­nación. Aquí, se muestra cómo varios protocolos se verían afectados si un solo grupo de 1024 bits se rompe en cada protocolo, suponiendo un cliente típico actualizada (por ejemplo, la versión más reciente de OpenSSH o hasta a la fecha de instalación de Chrome) .

 

 

Vulnerable si el grupo más común de 1024 bits se rompe

HTTPS ­ Top 1 Millón de Dominios 17,9%
HTTPS ­ Navegador Sitios de confianza 6,6%
SSH ­ Espacio de direcciones IPv4 25,7%
IKEv1 (IPsec VPN) ­ Espacio de direcciones IPv4 66,1 %

 

¿Qué tengo que hacer?

Si ejecuta un servidor ...

 

Si usted tiene un servidor web o correo, debe desactivar el soporte para la exportación de cifrado y generar un único grupo Diffie­Hellman de 2048 bits. Se ha publicado una Guía para la Implementación de Diffie­Hellman para TLS con instrucciones paso a paso. Si utiliza SSH, debe actualizar tanto sus instalaciones de servidor y cliente a la versión más reciente de OpenSSH.

 

Si utiliza un navegador ...

 

Asegúrese de tener la versión más reciente de su navegador instalado, y comprobar si hay actualizaciones frecuentes. Google Chrome (incluyendo navegador de Android), Mozilla Firefox, Microsoft Internet Explorer y Safari de Apple son todas las correcciones que despliegan para el ataque de Logjam.

 

Si usted es un administrador de sistemas o desarrollador ...

 

Asegúrese de que las biblioteca TLS que se utilicen estén actualizados hasta a la fecha, que los servidores que se mantienen tengan un algoritmo de cifrado de 2048 bits o más grandes, y que los clientes que se mantienen rechacen algoritmos de cifrados Diffie­Hellman menores que 1024 bits.

Categorías » Noticias
En Mayo 28, 2015