[opensuse-es] [opensuse] 25C3: Hackers completely break SSL using 200 PS3s (fwd)
![](https://seccdn.libravatar.org/avatar/77cb4da5f72bc176182dcc33f03a18f3.jpg?s=120&d=mm&r=g)
-----BEGIN PGP SIGNED MESSAGE-----
Hash: SHA1
Empleando 200 PS3, han conseguido romper el SSL. (de memoria) Consiguen
convertirse en autoridad certificadora y entonces emitir certificados para
validar sitios falsos para cazar incautos - aunque la prueba la han hecho
con certificados caducados a propósito, y esa certificado como autoridad
certificadora va a ser invalidado directamente en los navegadores.
Otro enlace:
http://www.washingtonpost.com/wp-dyn/content/article/2008/12/30/AR2008123001056_2.html?hpid=moreheadlines&sid=ST2008123001136
Este va sobre implicaciones legales. Mantuvieron en secreto la
investigación para evitar que las empresas certificadoras (Verisign)
consiguiera una orden judicial para evitar que se publicase. Microsoft si
lo sabía, pero con un acuerdo previo de mantener el secreto (por eso M$ ya
tiene preparado el bloqueo de la CA falsa, imagino).
(Ah, ese enlace es la pagina dos, me lo han pasado al reves)
- --
Cheers,
Carlos E. R.
- ---------- Forwarded message ----------
Date: Wed, 31 Dec 2008 07:37:48 -0800 (PST)
From: Martin Mielke <>
To: OpenSuSE
![](https://seccdn.libravatar.org/avatar/55b86771ee4623ebeadeff36f029a44f.jpg?s=120&d=mm&r=g)
El 31/12/08, Carlos E. R. escribió:
Empleando 200 PS3, han conseguido romper el SSL. (de memoria) Consiguen convertirse en autoridad certificadora y entonces emitir certificados para validar sitios falsos para cazar incautos - aunque la prueba la han hecho con certificados caducados a propósito, y esa certificado como autoridad certificadora va a ser invalidado directamente en los navegadores.
En español y más inteligible :-) Investigadores consiguen hacer que cualquier certificado SSL parezca válido http://www.hispasec.com/unaaldia/3721 La debilidad está en el uso del algoritmo de cifrado MD5 para la creación de certificados SSL, que permite generar dos certificados "válidos" (entre comillas) y con el cual (el falso) podrían hacerse pasar por uno "auténtico", suplantando su identidad. Resumen: *** "(...) Esto es precisamente lo que han expuesto varios investigadores internacionales en Berlín el día 30 de diciembre. Han creado certificados con identidades usurpadas, pero validados por CA. Lo han conseguido con fuerza bruta, forzando la colisión de la firma MD5. Esto puede permitir crear sitios falsos con certificados que sean válidos, o de forma práctica: phishings perfectos." *** Saludos, -- Camaleón -- Para dar de baja la suscripción, mande un mensaje a: opensuse-es+unsubscribe@opensuse.org Para obtener el resto de direcciones-comando, mande un mensaje a: opensuse-es+help@opensuse.org
![](https://seccdn.libravatar.org/avatar/efb119c3137e9a6709663f82c057e602.jpg?s=120&d=mm&r=g)
Empleando 200 PS3, han conseguido romper el SSL. (de memoria) Consiguen convertirse en autoridad certificadora y entonces emitir certificados para validar sitios falsos para cazar incautos - aunque la prueba la han hecho con certificados caducados a propósito, y esa certificado como autoridad certificadora va a ser invalidado directamente en los navegadores.
Tampoco es tan raro porque la PS3 es una maquina realmente buena a nivel de computación, a dia de hoy hay poco ordenadores a su nivel -- Para dar de baja la suscripción, mande un mensaje a: opensuse-es+unsubscribe@opensuse.org Para obtener el resto de direcciones-comando, mande un mensaje a: opensuse-es+help@opensuse.org
![](https://seccdn.libravatar.org/avatar/77cb4da5f72bc176182dcc33f03a18f3.jpg?s=120&d=mm&r=g)
-----BEGIN PGP SIGNED MESSAGE----- Hash: SHA1 El 2009-01-01 a las 12:31 +0100, xevi escribió:
Empleando 200 PS3, han conseguido romper el SSL. (de memoria) Consiguen convertirse en autoridad certificadora y entonces emitir certificados para validar sitios falsos para cazar incautos - aunque la prueba la han hecho con certificados caducados a propósito, y esa certificado como autoridad certificadora va a ser invalidado directamente en los navegadores.
Tampoco es tan raro porque la PS3 es una maquina realmente buena a nivel de computación, a dia de hoy hay poco ordenadores a su nivel
Nadie ha dicho que eso sea raro. Ojo, que son doscientas maquinas en un array. - -- Saludos Carlos E.R. -----BEGIN PGP SIGNATURE----- Version: GnuPG v2.0.9 (GNU/Linux) iEYEARECAAYFAklcrjEACgkQtTMYHG2NR9U0EwCgmNJjtKFPHvJEiMMVbnzj7hs8 /XAAn0wnoVjRIaxWdvD+rg0t9oL23iQZ =hUha -----END PGP SIGNATURE-----
participants (3)
-
Camaleón
-
Carlos E. R.
-
xevi