<div dir="ltr">Banco General era un ejemplo ;-)<div><br></div><div>Algunas de las grandes empresas usan su propia implementación de ssl, creo que gmail y facebook tienen sus propias librerías que no tienen nada que ver con openssl ni con IIS.</div>
<div><br></div><div>Interesante que uses facebook como ejemplo de seguridad,, yo en lo personal no hubiera escogido ese ejemplo... ;-)</div><div><br></div><div><br></div></div><div class="gmail_extra"><br><br><div class="gmail_quote">
2014-04-25 11:05 GMT-05:00 Paco <span dir="ltr"><<a href="mailto:paco@linuxlatino.org" target="_blank">paco@linuxlatino.org</a>></span>:<br><blockquote class="gmail_quote" style="margin:0 0 0 .8ex;border-left:1px #ccc solid;padding-left:1ex">
<div class="">On Fri, Apr 25, 2014 at 10:30:11AM -0500, Jorge Martín wrote:<br>
> Un ejemplo sencillo seria si la página de Banco General fuera vulnerable, y<br>
> un hacker logra sacar la llave privada de banco general, es tan fácil como<br>
> irte a la UTP, esnifear los WiFi abiertos que hay allí y recoger todos los<br>
> usuarios y claves de todo el que se conecte a Banco General desde esos WiFi.<br>
><br>
<br>
</div>Sí, pero no es el caso con Banco General, ellos usan IIS y su banca<br>
en línea está en ASP, nada de esas tonterías opensource vulnerables ;)<br>
<br>
El caso de Banco General es interesante, si te fijas en la<br>
encriptación que usan puedes ver (por lo menos para mí) es<br>
TLS_RSA_WITH_AES_128_CBC_SHA, esto quiere decir que todo el tráfico se<br>
encripta con la misma llave. No hay llave de sesión.<br>
<br>
En cambio con facebook tengo TLS_ECDHE_RSA_WITH_AES_128_GCM_SHA256. La<br>
parte interesante es la ECDHE, esto define que se crea y usa una llave<br>
de sesión. Por lo cual, si fuera facebook tendrías que snifear el<br>
tráfico del handshake inicial para decifrar la llave de session<br>
(usando la llave maestra del sitio) y poder posteriormente obtener el<br>
tráfico. Si no tienes la llave de sesión, con la llave maestra no hace<br>
nada porque el tráfico no fue encriptado con ella ;)<br>
<br>
Lo lógico sería que todos usaran llaves de sesión, el problema es que<br>
por allá por el 2011 apareció un exploit (BEAST) que afectaba<br>
precisamente las llaves de sesión :(<br>
<br>
En fin, banco general no fue afectado por esto y para que alguien<br>
obtenga tu cuenta de twitter, facebook o gmail tienen que capturar el<br>
handshake (los 3 implementan perfect forward secrecy).<br>
<br>
Suerte con la charla ;)<br>
<div class="HOEnZb"><div class="h5"><br>
--<br>
Paco<br>
<a href="http://www.linuxlatino.org/" target="_blank">http://www.linuxlatino.org/</a><br>
<br>
_______________________________________________<br>
Comunidad mailing list<br>
<a href="mailto:Comunidad@listas.floss-pa.net">Comunidad@listas.floss-pa.net</a><br>
<a href="http://listas.floss-pa.net/mailman/listinfo/comunidad" target="_blank">http://listas.floss-pa.net/mailman/listinfo/comunidad</a><br>
</div></div></blockquote></div><br><br clear="all"><div><br></div>-- <br><div><b><font size="4">Ing. Jorge L. Martín C.</font></b></div><div>Certified Information Systems Security Professional </div><div><div>Linux Professional</div>
</div><div>Cel: +50760708649 / WhatsApp</div><div><img src="https://www.isc2.org/uploadedImages/(ISC)2_Member_Content/Member_Resources/CISSP_logo.jpg"></div><div><br></div><div><div style="font-family:Arial,Helvetica,sans-serif;font-size:16px;font-weight:bold">
<span style="font-weight:normal"><b><span style="font-weight:normal;font-size:13px;border-collapse:collapse"><font color="#009900"><font face="tahoma, 'new york', times, serif">Imprime este correo </font></font></span><span style="font-size:13px;border-collapse:collapse"><font color="#009900"><font face="tahoma, 'new york', times, serif">SOLO </font></font></span><span style="font-weight:normal;font-size:13px;border-collapse:collapse"><font color="#009900"><font face="tahoma, 'new york', times, serif">si es muy necesario Reciclemos/cuidemos el ambiente</font></font></span></b></span></div>
<div><font color="#009900" face="tahoma, 'new york', times, serif"><span style="border-collapse:collapse"><br></span></font></div></div>
</div>