[Comunidad] Charla para el Flisol
Jorge Martín
jmartinc en gmail.com
Vie Abr 25 16:12:20 UTC 2014
Banco General era un ejemplo ;-)
Algunas de las grandes empresas usan su propia implementación de ssl, creo
que gmail y facebook tienen sus propias librerías que no tienen nada que
ver con openssl ni con IIS.
Interesante que uses facebook como ejemplo de seguridad,, yo en lo personal
no hubiera escogido ese ejemplo... ;-)
2014-04-25 11:05 GMT-05:00 Paco <paco en linuxlatino.org>:
> On Fri, Apr 25, 2014 at 10:30:11AM -0500, Jorge Martín wrote:
> > Un ejemplo sencillo seria si la página de Banco General fuera
> vulnerable, y
> > un hacker logra sacar la llave privada de banco general, es tan fácil
> como
> > irte a la UTP, esnifear los WiFi abiertos que hay allí y recoger todos
> los
> > usuarios y claves de todo el que se conecte a Banco General desde esos
> WiFi.
> >
>
> Sí, pero no es el caso con Banco General, ellos usan IIS y su banca
> en línea está en ASP, nada de esas tonterías opensource vulnerables ;)
>
> El caso de Banco General es interesante, si te fijas en la
> encriptación que usan puedes ver (por lo menos para mí) es
> TLS_RSA_WITH_AES_128_CBC_SHA, esto quiere decir que todo el tráfico se
> encripta con la misma llave. No hay llave de sesión.
>
> En cambio con facebook tengo TLS_ECDHE_RSA_WITH_AES_128_GCM_SHA256. La
> parte interesante es la ECDHE, esto define que se crea y usa una llave
> de sesión. Por lo cual, si fuera facebook tendrías que snifear el
> tráfico del handshake inicial para decifrar la llave de session
> (usando la llave maestra del sitio) y poder posteriormente obtener el
> tráfico. Si no tienes la llave de sesión, con la llave maestra no hace
> nada porque el tráfico no fue encriptado con ella ;)
>
> Lo lógico sería que todos usaran llaves de sesión, el problema es que
> por allá por el 2011 apareció un exploit (BEAST) que afectaba
> precisamente las llaves de sesión :(
>
> En fin, banco general no fue afectado por esto y para que alguien
> obtenga tu cuenta de twitter, facebook o gmail tienen que capturar el
> handshake (los 3 implementan perfect forward secrecy).
>
> Suerte con la charla ;)
>
> --
> Paco
> http://www.linuxlatino.org/
>
> _______________________________________________
> Comunidad mailing list
> Comunidad en listas.floss-pa.net
> http://listas.floss-pa.net/mailman/listinfo/comunidad
>
--
*Ing. Jorge L. Martín C.*
Certified Information Systems Security Professional
Linux Professional
Cel: +50760708649 / WhatsApp
*Imprime este correo SOLO si es muy necesario Reciclemos/cuidemos el
ambiente*
------------ próxima parte ------------
Se ha borrado un adjunto en formato HTML...
URL: <http://listas.floss-pa.net/pipermail/comunidad/attachments/20140425/41a9090c/attachment.html>
Más información sobre la lista de distribución Comunidad