Agosto 27, 2008 - 8:52 - Publicado por SaintDirtY
La proxima version de firefox (3.1) incluirá un motor de ejecución de JavaScript que acelerará considerablemente la interpretación de este tipo de código.
Le fue colocado el nombre “tracing”, es una nueva tecnología y esta siendo desarrollada de forma tal que podra ejecutar el javascript entre 20 y 40 veces más rapido que antes.
Esta tecnología se basa en precompilar partes del codigo para tenerlo listo en caso de ser necesario.
Publicado en Software | Ningun comentario »
Julio 26, 2008 - 7:43 - Publicado por SaintDirtY
Un día muy especial en lo que a mi respecta, porque hay que reconcer esta labor desempeñada por el personal Informatico (en la cual me incluyo) el cual desempeña labores de Administracion, Mantenimiento de todo tipo de sistemas, entre otros incluye tambien Administracion de equipos, Redes, Impresoras, Telefonicos (PBX), correo electronico, Bases de Datos, entre otros…
Una labor gris, en la sombra y en raras ocasiones reconocida, ya que uno de los principales síntomas del buen desempeño consiste precisamente en eso, en pasar lo mas desapercibido posible.
Publicado en General | Ningun comentario »
Mayo 19, 2008 - 9:06 - Publicado por SaintDirtY
El problema se deriva de una corrección al código hecha hace dos años (en 2006), que tuvo como involuntaria consecuencia dejar su distribución OpenSSL vulnerable. Un grave error ha sido revelado en Debian Linux y sus paquetes derivados, tales como Ubuntu. OpenSSL se utiliza para proporcionar autenticación y cifrado del tráfico web en conexiones SSL (Secure Sockets Layer), además de otras funciones criptográficas. OpenSSL hizo posible que construir un sitio HTTPS, fuera más sencillo y barato. La fuerza de la clave pública generada, se basa en gran parte, en la cantidad de claves posibles que se pueden utilizar para cifrar los datos. Claves de 1024, 2048 o 4096 bits, significan una enorme cantidad de combinaciones, tantas como para que un ataque de fuerza bruta (probar todas las combinaciones posibles hasta dar con la correcta), lleven una cantidad prohibitiva de tiempo. El error introducido desde 2006 en Debian, reduce esta cantidad de combinaciones a tan solo 32768 (una clave de 16 bits). Esto puede tomar a un programa de computadora, en el peor de los casos, encontrar la clave correcta en tan solo 20 minutos. De hecho, ya existe un exploit para este fallo, que logra hacerlo en ese tiempo, para poder acceder a un servidor. Tan grave es el problema que el SANS Storm Center cambió su nivel de alerta a amarillo (reflejado también en el nivel de alerta de VSAntivirus). Alguien ya ha generado un listado de todas las posibles claves generadas con estas 32768, y tan solo le llevó unas pocas horas. Quien acceda a ese listado (o quien lo genere por su cuenta), podría hackear cualquier contraseña generada con la ayuda de OpenSSL, sin siquiera usar fuerza bruta. La seguridad de muchos sitios bajo Linux, dependen de certificados generados por OpenSSL para cifrar el tráfico de la red. Una actualización ya ha sido publicada, pero ello no resuelve el problema. Hay que generar nuevos certificados, ya que cualquiera creado desde 2006 hasta hoy, puede ser fácilmente eludido. También será necesario cambiar todas las contraseñas que hayan sido generadas utilizando OpenSSL, desde servidores a redes privadas. Los usuarios comunes, deberán cambiar por lo menos las claves de acceso a sus servidores, sitios SSL, etc., suponiendo claro está, que los responsables de los sitios ya hayan actualizado su software. Se trata de un problema mucho más grande de los que algunos piensan. Tampoco es cuestión de estar a favor o en contra del software libre, aunque sin dudas el caso dará tela para mucha discusión al respecto. Por ejemplo, el código vulnerable siempre estuvo disponible para cualquiera, pero nadie le prestó atención en casi dos años. El SANS Storm Center advierte además, sobre algunas facilidades que tendrían los atacantes. El nuevo paquete de Debian para SSH (ssh_4.3p2-9etch1), también aplica un paquete llamado “openssh-blacklist”. Después de esta actualización, un servidor SSH rechazará claves de la serie comprometida (16 bits). El paquete también instala una nueva herramienta llamada “ssh-vulnkey”, que permite cazar aquellos archivos que tengan claves débiles. El problema es que si bien estas herramientas pretenden ayudar a quienes apliquen los parches, también podrían ser utilizadas por los atacantes para detectar más fácilmente a quienes aún no han instalado la actualización.
Visto en AnrtivirusGratis
Publicado en Seguridad Informatica | Ningun comentario »
