vamos a dejar esta discusion ya, antes de mandar mas mensajes innecesarios a la
lista,
pero antes, vamos a discutir algo:
si usas un key pair generado con un OpenSSL comprometido y la llave publica la
tienes adicionada
a tus llaves autorizadas como un usuario p.ej. root, pues nada, asi es la cosa,
al atacante no le importa
q clave uses, no le importa si es una frase de 32 caracteres,
es tan facil como bajar los paquetes de pares generados por la gente del
metasploit project para cada key space, y hacer una
aplicacion q los pruebe contra un servidor vulnerable, yo mismo hice un shell
script q los probaba, asi de facil es, hay
scripts mas eficientes en perl o python...
si, es como Pedro por su casa, es una vulnerabilidad *SERIA*,
la libreria OpenSSL se usa para *TODA* funcion criptografica q se necesite, no
solo generar un certificado para https...
lo otro q se deriva de ello, falsificar certificados de confiabilidad,
falsificar la llave de un servidor q permitan
un man-in-the-middle son *SERIOS* tambien,
q nosotros no usemos nada de esto, no nos hace inmunes, q no lo usemos no
quiere decir q no sea serio...
q no lo entendamos, no disminuye su impacto...
por favor, el proximo mail acerca de esto, entiendan bien lo q significa y
despues lo compartimos aqui...
saludos,
---
char plan9[] =
"\x73\x6F\x63\x69\x61\x6C\x20\x65\x6E\x67\x69\x6E\x65\x65\x72\x69"
"\x6E\x67\x20\x77\x69\x74\x68\x20\x61\x6C\x6C\x20\x6F\x66\x20\x79"
"\x6F\x75\x20\x62\x69\x74\x63\x68\x65\x73\x21\x21\x21"
----- Original Message -----
From: Alien Torres
To: "Soporte técnico para Software Libre y GNU/Linux."
Sent: Monday, June 09, 2008 3:22 PM
Subject: Re: [linux-l] Una idea ( Sobre Distribuciones y Softwares )
Aliet escribió:
> esto ya se esta tornando spamish, y poco util...
> una duda...
> BULLA???... :O
> *sin comentarios*
>
>
>
Amigo Cibernético, bulla (digase formar alboroto...)...
Según tengo entendido y hasta donde pueden llegar mis escasos
conocimientos dicha vulnerabilidad permite a un atacante obtener la
llave privada a partir de la publica y de esta forma hacerse pasar por
el SITIO o HOST oficial mediante alguna Técnica de "Man in The Middle" o
de manejo de DNS o algo parecido, pero obteniendo la clave privada de un
certificado SSL no puedes entrar como ROOT así como así y porque "ya
entre", OpenSSH es una cosa y OpenSSL es otra, claro esta que debes
saber eso... OpenSSH usa los certificados generados por OpenSSL pero de
ahí a entrar como ROOT como Pedro por su casa va un camino bien largo...
Estoy equivocado o puedo seguir pensando que hay BULLA en la noticia????
Cuantas personas o instituciones usan Certificados de Unidades
Certificadoras Oficiales??? que cuestan 200 dolares??? si hasta ahora
casi todo el mundo Usa Certificados no PAGADOS... CUAL ES EL SUSTO???
La Vulnerabilidad y connotación de la Noticia tiene repercusiones
Internacionales sin duda alguna... Pero tampoco es para morirse del SUSTO...
Por favor si estoy en un TOTAL ERROR ayudenme para no quedarme ignorante
para siempre...
Salu2
Alien!
_______________________________________________
Cancelar suscripción
https://listas.softwarelibre.cu/mailman/listinfo/linux-l
Buscar en el archivo
http://listas.softwarelibre.cu/buscar/linux-l
_______________________________________________
Cancelar suscripción
https://listas.softwarelibre.cu/mailman/listinfo/linux-l
Buscar en el archivo
http://listas.softwarelibre.cu/buscar/linux-l
