tag:blogger.com,1999:blog-21555208.post4282649335087272013..comments2024-03-19T04:21:33.323+01:00Comments on Un informático en el lado del mal: SWEET32: Nuevos ataques a Blowfish y 3DES afectan a la privacidad de HTTPs y OpenVPNChema Alonsohttp://www.blogger.com/profile/16328042715087424781noreply@blogger.comBlogger14125tag:blogger.com,1999:blog-21555208.post-926416297315144022016-09-09T23:11:31.945+02:002016-09-09T23:11:31.945+02:00Perdón carrito, no cabrito, sorryPerdón carrito, no cabrito, sorryBuenrollito jejehttps://www.blogger.com/profile/08865969893934107224noreply@blogger.comtag:blogger.com,1999:blog-21555208.post-59450511647081291232016-09-09T23:10:21.021+02:002016-09-09T23:10:21.021+02:00Muy buenas, ayer recibimos una llamada de una muje...Muy buenas, ayer recibimos una llamada de una mujer, llamo al móvil de mi novia coji yo, en ese momento mi novia no estaba y le dije que que quería me.dijo que.nada.que era una.mujer de una.panadería q habían coincidido y le.había dado el número....( todo muy raro) así que coji mi móvil y le hable por wathsap haciéndome pasar por ella y. Me dice te acuerdas de mi de la.panadería, (palabras textuales) y mi novia que ya había llegado me.dijo que.no así.que.le.puse eso, y me.dice si una chica que iba cn.un.cabrito que nos conocimos y me distes.el número y era mentira, que haber si podíamos quedar en una.panadería,no me decía ni el nombre...le digo que no, que no la conozco y me dice espera que te paso una.foto mírala....la cosa es que me.dijo el.nombre.de mi chica y la tarjeta tiene solo un mes y llamo a ese numero, me dio por mirar el número imei y acaba en tres 0, que puedo hacer?, agradecería una respuesta,si quieres te puedo dar el número de teléfono que me llamó, muchas gracias, buen blog jjejBuenrollito jejehttps://www.blogger.com/profile/08865969893934107224noreply@blogger.comtag:blogger.com,1999:blog-21555208.post-62499971787020469932016-09-08T22:22:26.050+02:002016-09-08T22:22:26.050+02:00@nombre apellidos exacto, como Facebook, Apple o M...@nombre apellidos exacto, como Facebook, Apple o Microsoft (y el resto de los que tenemos HTTPs 1005). Encantado de ver tu PoC con nosotros o con Facebook funcionando. Saludos!Chema Alonsohttps://www.blogger.com/profile/16328042715087424781noreply@blogger.comtag:blogger.com,1999:blog-21555208.post-38303868555736005352016-09-08T22:17:36.683+02:002016-09-08T22:17:36.683+02:00Eres parte del 2%Eres parte del 2%Anonymoushttps://www.blogger.com/profile/05118121877470472168noreply@blogger.comtag:blogger.com,1999:blog-21555208.post-19217099242149749602016-09-08T22:12:36.437+02:002016-09-08T22:12:36.437+02:00@nombre apellidos, sí porque nuestra web es 100% H...@nombre apellidos, sí porque nuestra web es 100% HTTPs. Las webs públicas que tienen HTTPs por defecto, suelen habilitarlo para la compatibilidad XP/IE8 (con cuota alta aún de visitas en nuestras estadísticas). Los sitios que no tienen HTTPs en toda la web tienen solo una zona bajo HTTPs y por eso suelen quitar 3DES porque generalmente no dan soporte ni a esas plataformas. Pero cuando es 100% HTTPs lo suelen dejar. No son todavía muchos los sitios que están 100% bajo HTTPs, por eso ese 1-2%. Te recomiendo que mires cómo lo hacen otras empresas tecnológicas en el mundo. Al final, la seguridad debe buscar un equilibrio con la usabilidad, la funcionalidad para el negocio (en este caso difusión de contenido) y la gestión del riesgo. Por eso los CISO y los CSO tienen que aprender a tomar ese tipo de decisiones. <br /><br />Saludos!Chema Alonsohttps://www.blogger.com/profile/16328042715087424781noreply@blogger.comtag:blogger.com,1999:blog-21555208.post-83464545768536620342016-09-08T21:53:10.483+02:002016-09-08T21:53:10.483+02:00Genial genial. Entonces, como dices en tu articulo...Genial genial. Entonces, como dices en tu articulo, vosotros sois unos de ese 1%-2% que soporta 3DES, pero oye, por compatibilidad. Encantado de haber discutido esto contigo. Me queda mas claro que tipo de profesional eres.Anonymoushttps://www.blogger.com/profile/05118121877470472168noreply@blogger.comtag:blogger.com,1999:blog-21555208.post-24153642250509519422016-09-08T21:36:26.000+02:002016-09-08T21:36:26.000+02:00@Nombre apellidos, puedes ponerte en contacto con ...@Nombre apellidos, puedes ponerte en contacto con nosotros si quieres debatir sobre el certificado y si te animas y nos haces una PoC del ataque que crees que se podría hacer estaremos encantados de revisarla. Nosotros tenemos un equipo de personas que mira estas cosas continuamente y ellos estarán encantados de mejorar. Por ahora, lo tenemos habilitado porque como podías ver en la lista de negociaciones que te he pasado (que creo que no has visto) es necesario para IE8 con Windows XP, y aún la cuota de mercado es alta en esas versiones. Así que, por compatibilidad está activado, junto con las medidas de mitigación de las versiones superiores para evitar ataques de downgrade. Si necesitas más información, más que felices de contarte más sobre ello.<br /><br />Saludos!Chema Alonsohttps://www.blogger.com/profile/16328042715087424781noreply@blogger.comtag:blogger.com,1999:blog-21555208.post-6189566055452648702016-09-08T20:42:25.212+02:002016-09-08T20:42:25.212+02:00Claro que lo he visto. Usais 3DES con 112 bits. ¿H...Claro que lo he visto. Usais 3DES con 112 bits. ¿Hiciste scroll y no lo vistes? ¿O eres un profesional que se guia por colores que te da ssllabs en vez de hechos tecnicos y buen documentados?Anonymoushttps://www.blogger.com/profile/05118121877470472168noreply@blogger.comtag:blogger.com,1999:blog-21555208.post-18363665956235952922016-09-08T20:38:43.719+02:002016-09-08T20:38:43.719+02:00@Nombre apellidos, ya has visto el informe de prot...@Nombre apellidos, ya has visto el informe de protocolos CBC que se usan en SSLTest con nuestro cert? Ahí tienes la respuesta. Saludos!Chema Alonsohttps://www.blogger.com/profile/16328042715087424781noreply@blogger.comtag:blogger.com,1999:blog-21555208.post-68463614750096266422016-09-08T20:36:12.106+02:002016-09-08T20:36:12.106+02:00Ok ok, como tu quieras. Pero las recomendaciones a...Ok ok, como tu quieras. Pero las recomendaciones a dia de hoy indican no usar ciphers de menos de 128 bits, y elevenpaths los usa inferiores a eso. Pero oye, si me dices que lo haceis por compatibilidad pues estupendo...Anonymoushttps://www.blogger.com/profile/05118121877470472168noreply@blogger.comtag:blogger.com,1999:blog-21555208.post-64390397561090490622016-09-08T20:28:36.249+02:002016-09-08T20:28:36.249+02:00@Nombre apellidos, por eso solo se usa con propósi...@Nombre apellidos, por eso solo se usa con propósito de compatibilidad. Aquí tienes info de la calidad de nuestro certificado digital, para que veas que seguimos las mejores prácticas https://www.ssllabs.com/ssltest/analyze.html?d=www.elevenpaths.com&latest En el caso de 3DES en entornos de compatibilidad y para evitar ataques efectivos, se toman medidas de remediación. Es por eso que con Sweet32 se van a actualizar OpenSSL y los webbrowsers para evitar ataques de downgrade.<br /><br />Saludos!Chema Alonsohttps://www.blogger.com/profile/16328042715087424781noreply@blogger.comtag:blogger.com,1999:blog-21555208.post-38752212963569730102016-09-08T20:21:40.027+02:002016-09-08T20:21:40.027+02:003DES se considera roto hace ya bastante y por otro...3DES se considera roto hace ya bastante y por otros motivos, no por sweet32 :)Anonymoushttps://www.blogger.com/profile/05118121877470472168noreply@blogger.comtag:blogger.com,1999:blog-21555208.post-4365226198800867202016-09-08T20:11:46.078+02:002016-09-08T20:11:46.078+02:00@Nombre apellidos. Como dice la web de Sweet32, el...@Nombre apellidos. Como dice la web de Sweet32, el problema es que es aún muy usado por clientes en Internet y por eso los servidores lo siguen utilizando. El bug está en la implementación en el cliente y el protocolo de negociación por eso se van a actualizar WebBrowsers, OpenVPN y OpenSSL. Nosotros actualizaremos el software cuando estén liberados los parches dentro de nuestro proceso de actualizaciones rutinario para estos casos.<br /><br />Saludos!Chema Alonsohttps://www.blogger.com/profile/16328042715087424781noreply@blogger.comtag:blogger.com,1999:blog-21555208.post-6410973248887477772016-09-08T20:05:17.253+02:002016-09-08T20:05:17.253+02:00Pues en elevenpaths usais triple-desPues en elevenpaths usais triple-desAnonymoushttps://www.blogger.com/profile/05118121877470472168noreply@blogger.com