Ataque de SLOTH que debilita la privacidad de HTTPS

Las vulnerabilidades de seguridad basadas en el MD5 función hash permiten descifrar datos de la red o hacerse pasar por servidores con el fin de robar información privada, de acuerdo con investigadores del instituto INRIA en Francia. MD5 es una función hash criptográfica. Eso significa que traduce los datos en un "hash" o pieza confusa de información. En teoría, los datos no pueden ser desordenadas inversa traducidos para revelar la información original.

Desde mediados de la década de 1990, sin embargo, las fallas se han conocido en el algoritmo MD5 que permiten descifrar hashes MD5. Por esa razón, MD5 hace mucho tiempo dejó de ser utilizado para utilizado para tareas que requieren de alta seguridad y privacidad, como la firma de SSL / TLS certificados (que se utilizan para proporcionar el cifrado HTTPS para sitios web). Pero resulta que los hashes MD5 vulnerables permanecen en uso en otras capas de la esquema de cifrado TLS, entre otros lugares. Como resultado, se facilita una serie de ataques llamados PEREZA por los investigadores de seguridad que ellos describen en un artículo reciente.

Los ataques permiten a los servidores maliciosos para posar sitios web legítimos con el fin de robar información de los usuarios. También podrían hacer posible que los espías de la red para descifrar los datos que deben ser privado. Puedes usa el servicio VPN gratis para aumentar la seguridad de tu PC.

Otros protocolos de cifrado utilizados, incluidos los que se utilizan para asegurar SSH, IPsec y XMPP de mensajería, también pueden ser vulnerables a los ataques resultantes de la deficiente aplicación de hash MD5. La buena noticia es que los ataques PEREZA no afectan a todos los sitio web o aplicación que utiliza MD5. Ellos requieren ciertas condiciones para trabajar. También requieren un tiempo para ejecutar, desde que se fracturó hashes MD5 puede tomar un par de horas, no segundos.

Eso significa que estas vulnerabilidades no son susceptibles de ser utilizados para recoger grandes cantidades de información de los usuarios de Internet de una manera sistemática. Pero podrían ser útiles para la orientación individuos particulares, como los periodistas, cuya actividad en línea o las autoridades de información privados pueden querer controlar.

Por ahora, los ataques PEREZA significa principalmente que el cifrado HTTPS no se puede confiar (no es que usted debería haber asumido que era perfecto antes, tampoco). Si usted está preocupado acerca de la privacidad, la protección de su tráfico con una VPN agregará otra capa útil de privacidad de datos.