Se ha descubierto que uno de los paquetes de software de seguridad más comunes del mundo, utilizado como base para la protección de muchos navegadores web, es vulnerable a una forma específica de ataque, según una investigación dirigida por la Universidad de Adelaida.
OpenSSL proporciona protección de cifrado para una variedad de aplicaciones en la mayoría de los tipos de computadoras y es similar a los paquetes de cifrado utilizados por los navegadores web Google Chrome BoringSSL y Firefox Servicio de seguridad de red NSS de Mozilla.
El Dr. Yuval Yarom, Investigador Asociado de la Facultad de Informática de la Universidad de Adelaida, dice que él y sus colegas Daniel Genkin Universidad de Tel Aviv y la Dra. Nadia Heninger Universidad de Pensilvania han descubierto que OpenSSL es vulnerable a un tipo de ataque conocidocomo un "ataque de canal lateral"
Un ataque de canal lateral permite a un pirata informático obtener información importante sobre el software al examinar el funcionamiento físico de un sistema informático, como cambios mínimos en el uso de energía u observar cambios en el tiempo cuando se utiliza un software diferente.
El Dr. Yarom descubrió que es posible "escuchar" el funcionamiento del software de encriptación OpenSSL. En el caso del equipo, midieron cambios muy sensibles en el tiempo de la computadora, hasta menos de un nanosegundo una billonésima parte deun segundo. De estas mediciones recuperaron la clave privada que OpenSSL utiliza para identificar al usuario o la computadora.
"En las manos equivocadas, la clave privada se puede usar para 'romper' el cifrado y suplantar al usuario", dice el Dr. Yarom.
"En esta etapa solo hemos encontrado esta vulnerabilidad en computadoras con procesadores Intel 'Sandy Bridge'. Las computadoras con otros procesadores Intel pueden no verse afectadas de la misma manera".
El Dr. Yarom dice que la probabilidad de que alguien piratee una computadora usando este método es escasa: "Parece que somos los primeros en hacerlo, y bajo condiciones controladas".
"Los servidores, en particular los servidores en la nube, son un objetivo más probable para este ataque de canal lateral. Es menos probable que alguien lo use contra una computadora doméstica. Hay tantas vulnerabilidades más fáciles de explotar en las computadoras domésticas que es poco probablealguien trataría de hacer esto en el mundo real, pero no es imposible "
El Dr. Yarom dice que ha habido debates sobre esta forma de ataque contra OpenSSL durante más de 10 años, y algunos fabricantes afirman que no se puede hacer. "Pero hemos demostrado que la vulnerabilidad existe", dice.
"Dado que OpenSSL es el software criptográfico más utilizado en el mundo en este momento, es importante que estemos atentos a cualquier posible ataque, sin importar cuán pequeñas sean sus posibilidades.
"Una vez que descubrimos la vulnerabilidad, contactamos a los desarrolladores de OpenSSL y los hemos estado ayudando a desarrollar una solución para el problema", dice.
Fuente de la historia :
Materiales proporcionado por Universidad de Adelaida . Nota: El contenido puede ser editado por estilo y longitud.
Cite esta página :