Revelan una grave falla en el algoritmo MD5

Publicado el 31-12-2008 a las 08:00 por ZooTV

En una conferencia denominada Chaos Communication Congress, que se realiza en Alemania, un grupo de hackers (liderados por Alexander Sotirov y Jacob Appelbaum) han demostrado que es posible crear certificados de autorización (CA) falsos, haciéndolos pasar como confiables en los navegadores actuales.

Para lograr su objetivo, se valieron de un cluster de 200 consolas PlayStation 3 en las que realizaron una serie de experimentos con una avanzada técnica de colisión MD5.

La falla resulta ser tan grave que cualquier sitio al que nos conectemos vía HTTPS (con el conocido candadito cerrado), podría ser un sitio que no ofrezca ningún tipo de seguridad.

Para resolver el problema de fondo, los navegadores y los CA deberían dejar de utilizar MD5, reemplazándolo por SHA-2 o el próximo SHA-3.

Links:

Compartir Compartir
Publicado por ZooTV el 31 de December 2008 en la categoría Internet con los tags , , , . Tiene 32 comentarios.

32 Comentarios

Revelan una grave falla en el algoritmo MD5

Deja tu Comentario ↓

Ver Todos Páginas: 1 2 Próximos 30 Comentarios →

Ekron

DesaprobarAprobar26 Ekron dijo el 31-12-2008 a las 08:24:

1

Quizás no sea la consola mas vendida del momento, pero de que su hardware es poderosísimo, no hay duda…

Raul

DesaprobarAprobar10 Raul dijo el 31-12-2008 a las 08:26:

2

El titulo es un poco “misleading” — la vulnerabilidad de MD5 (la posibilidad de las colisiones en la función de hash) era conocida desde hace bastante tiempo.
Lo que realmente entretenido es la capacidad de actuar como CA eso suena muy entretenido.

Jaime M-F

DesaprobarAprobar3 Jaime M-F dijo el 31-12-2008 a las 08:33:

3

BruteForce!, como siempre hay que andar actualizando las funciones de hash, MD5 ya tuvo su epoca

Ver Comentario... Harold dijo el 31-12-2008 a las 08:50 ...

JRRB

DesaprobarAprobar3 JRRB dijo el 31-12-2008 a las 08:54:

5

Hoy por hoy que es 100% seguro?.
De todas maneras este es un golpe más para toda las empresas “pagadas” de seguridad”, que se echan en los huevos, que sería si no fuera por los hackers.
En fin habra que exigir nuevas medidas de seguridad.

rodrigo

DesaprobarAprobar3 rodrigo dijo el 31-12-2008 a las 08:55:

6

un sitio es seguro hasta que se hackeado. no existe la varita magia para la seguridad.

Shaitan

DesaprobarAprobar7 Shaitan dijo el 31-12-2008 a las 09:04:

7

yo no quiero hacer ningun comentario hasta que me aseguren que esta pagina es realmente fayerwayer… yo creo que debe ser de las primeras en intentar ser impostadas para obtener nuestros datos.

coco

DesaprobarAprobar8 coco dijo el 31-12-2008 a las 09:09:

8

Y quien les habra prestado las 200 PS3? Pq son mas de 50 palos solo en consolas… uhmmmm…

delm

DesaprobarAprobar5 delm dijo el 31-12-2008 a las 09:18:

9

Solo una nota técnica. Un certificado digital nunca ha sido significado de seguridad ni menos de autenticidad.

Lo único que un certificado digital asegura es que lo que tu envíes solo será leído por la persona que emite el certificado. Esto es decir, que no prueba de ninguna manera que el emisor del certificado es quien dice ser.

Este hack es solo una prueba de concepto y la única utilidad “práctica” que se me ocurre es que realicen un phishing con certificados falsos… pero de todas formas siempre pudieron hacer certificados verdaderos.

Coyote78

DesaprobarAprobar5 Coyote78 dijo el 31-12-2008 a las 09:47:

10

@coco

Si te fijas, lo que realizaron con las 200 PS3 fue un cluster, para generar una “Supercomputadora”, lo cual a pesar de ser un costo muy alto para nosotros como simples mortales, para una empresa o universidad, debe haber signifacado un ahorro mayusculo, en comparacion de adquirir servidores dedicados para dicha operacion

PS3, es la consola más potente hoy por hoy, a pesar de que no le vaya bien en ventas, y por lo mismo deben haberla seleccionado.

Javier

DesaprobarAprobar-3 Javier dijo el 31-12-2008 a las 10:14:

11

Y quien eligió a las CA verdaderas??

Ver Comentario... blopanomas dijo el 31-12-2008 a las 10:38 ...

jp

DesaprobarAprobar11 jp dijo el 31-12-2008 a las 10:49:

13

No pongo nunca más billetera al lado de mi PS3

Ver Comentario... Altair dijo el 31-12-2008 a las 10:55 ...

inyaka

DesaprobarAprobar2 inyaka dijo el 31-12-2008 a las 11:16:

15

¿por que todos le estan prestando atencion a la consolita esa, cuando es, lo menos importante del tema?

lo terrible de todo esto es que MD5 no sea seguro :S

por cierto mucho mas económico que 200 PS3 es una red de zombies, así seria fácil entrar a cualquier sitio :S

Wordpress ya dejo de usar MD5 aunque no se cual esta usando ahora (si alguien lo sabe que me lo diga)

Fabian

DesaprobarAprobar2 Fabian dijo el 31-12-2008 a las 12:14:

16

shaaaa. ta la pura cagá. !!!!!!!!!!!!!!!!!!!!!!!

mrjavo

DesaprobarAprobar1 mrjavo dijo el 31-12-2008 a las 12:19:

17

Mas arriba tenian razon, hace super poco me toco averiguar sobre el md5 y hace rato que se sabia que habia un problema con las colisiones en la funcion de hash, y que habian logrado identificar la vulnerabilidad con una super computadora (aproposito, creo inocentemente que una funcion de hash siempre tendra tarde o temprano una colision).
Ahora falta q los phisheros se pongan mas vivos pa’ que empecemos a caer redonditos en su juego.

Varios estan optando por el SHA-1 y SHA-2 por cierto, no se si sea el caso de Wordpress

Tomás Alejandro+Del+Bianco

DesaprobarAprobar2 Tomás Alejandro+Del+Bianco dijo el 31-12-2008 a las 12:21:

18

No es una grave falla en el algoritmo MD5… siempre se conoció esa falla, solo que se necesita DEMASIADO poder de procesamiento para poder explotar esa falla por lo tanto se consideró ireelevante.

Saludos

Chano

DesaprobarAprobar4 Chano dijo el 31-12-2008 a las 12:55:

19

Hace casi 10 años que MD5 dejó de ser seguro!

agua_light

DesaprobarAprobar3 agua_light dijo el 31-12-2008 a las 13:02:

20

@Tomás Alejandro+Del+Bianco: hace 10 años 500Mhz era un pc monstruo. 10 años despues es menos que un iPhone.

ese DEMASIADO poder de procesamiento llegará y mejor es solucionar el problema antes.

Carlos

DesaprobarAprobar4 Carlos dijo el 31-12-2008 a las 13:38:

21

@Coco @altair

Fijense en los links antes de emitir comentarios.

En el 1er link que postearon en la nota dice claramente: “We had about 200 PS3s at our disposal, located at the “PlayStation Lab” of Arjen Lenstra at EPFL, Lausanne, Switzerland”

Que significa “Nosotros tuvimos alrededor de 200 PS3 a nuestra disposicion, que estaban ubicadas en el “Laboratorio Playstation” del Arjen Lenstra en el EPFL, Lausanne, Suiza”

Saludos

Tomás Alejandro+Del+Bianco

DesaprobarAprobar2 Tomás Alejandro+Del+Bianco dijo el 31-12-2008 a las 14:26:

22

@agua_light: obviamente que eso pasa!, por eso dije que “Se consideró ireelevante”, era irrelevante, ahora quizas sea un poco preocupante, pero en 10 años, sera practicamente inservible (el md5). A lo que me referia es que el titulo del articulo dice que “revelan una grave falla”, la falla se conocia desde hace muho, solo que no era grave porque no teniamos capacidades para explotarlas.

chronnoz

DesaprobarAprobar1 chronnoz dijo el 31-12-2008 a las 15:13:

23

y pq se necesita tanto procesador para explotar esta falla?

son

DesaprobarAprobar-1 son dijo el 31-12-2008 a las 17:25:

24

Me gustaria que los señores de fayerwayer me explicaran la diferencia entre la ocupacion de la palabra “hacker” para este tipo de hecho y para http://www.fayerwayer.com/2008/12/hackers-para-la-tala-ilegal-en-brasil/

Estoy viendo como me estan tergiversando.

mrjavo

DesaprobarAprobar2 mrjavo dijo el 31-12-2008 a las 20:25:

25

en fuerza bruta vas probando una a una con todas “claves” aplicandole la funcion de hash… dado que las combinaciones son practicamente infinitas, y el algoritmo garantizaba cierta seguridad, significaba que era muy improbable que dos claves distintas generaran un mismo hash (cuando pasa se llama Colision)… pero con harta paciencia y una super computadora, se puede ir probando todas las combinaciones posibles hasta comenzar a obtener las colisiones. Es como decir q la clave “hola” y la clave “iduigdfuasgfsuagfusyadfydashdsakfkasdjfhskajhfskahfdksafjdsakjhfksaldjfhsdkadjfhaskdfjahs” generan un mismo hash. Si vas probando todas las combinaciones posibles, el año de la cocoa vas a llegar a determinar que hola y la otra clave generan el mismo hash.

Alomejor no me explique bien hahah xD

ScRaSh

DesaprobarAprobar1 ScRaSh dijo el 31-12-2008 a las 22:35:

26

@JRRB: Triple DES

malienlaf

DesaprobarAprobar1 malienlaf dijo el 1-1-2009 a las 00:03:

28

No seré muy avanzado en algoritmo, pero los SHA-x siempre han sido algo mas complicado que los MDx

D;

DesaprobarAprobar0 D; dijo el 1-1-2009 a las 23:18:

29

@Shaitan
Si es fayerwayer publican cosas de mac y esta mister chips.
Por lo del md5 grave fallo se podría crackear una cantidad inesperadas de hash y obtener fácilmente contraseñas O.O

Grave falla en el algoritmo MD5

DesaprobarAprobar0 Grave falla en el algoritmo MD5 dijo el 2-1-2009 a las 00:35:

30

[...] fuente | Revelan una grave falla en el algoritmo MD5 [...]

Ver Todos Páginas: 1 2 Próximos 30 Comentarios →

Deja tu Comentario

XHTML: Puedes usar: <a href="" title=""> <abbr title=""> <acronym title=""> <b> <blockquote cite=""> <code> <em> <i> <strike> <strong>

Previsualizar comentario?