Disponibles servicios web de escaneo de vulnerabilidades en claves SSL y SSH

Enviado por admin el 3. Junio 2008 - 16:13.

La chapuza realizada por la gente de Debian fue muy gorda, pero sus consecuencias están aún por ver.

Las empresas de certificación que se han ofrecido a comprobar gratis los posibles certificados afectados no han tenido ningún éxito, lo que lleva a pensar que o bien todos los administradores conocen perfectamente el problema y son muy, pero que muy competentes, o bien que aún existen miles de sitios cuya seguridad pende de un hilo.

Por eso, la aparición de páginas web dirigidas a comprobar si las claves SSH o SSL de un sitio están afectadas representa un arma de doble filo, y el hecho de que cualquiera pueda comprobar con tanta comodidad la fortaleza de las claves de cualquier sitio sin mediar ningún tipo de autenticación no me permite ser muy optimista.

Un tímido aviso en el sentido de que se imponen severos límites al uso de los scripts para impedir abusos, no parece suficiente.

En cualquier caso no sirve de mucho esconder la cabeza o mirar hacia otro lado. Mejor saber que estas herramientas -y otras similares- existen y además están libremente disponibles.

»

Comentarios

Selecciona arriba tu forma preferida de visualizar
los comentarios y pulsa el botón para guardar tus
preferencias. Éstas sólo se recordarán para tus
próximas visitas si eres usuario registrado.

a mi me parece muy bien

Enviado por anónimo el 3. Junio 2008 - 17:34.

a mi me parece muy bien ese servicio, ya había cambiado las claves de las debian, pero aun así he rechequeado, y todo bien, incluso he probado con 127.0.0.1 y me ha chequeado la clave desde el localhost, porque el puerto 22 esta cerrado para el exterior

localhost?

Enviado por anónimo el 4. Junio 2008 - 12:44.

si has puesto 127.0.0.1 habrá chequeado las claves del propio servidor, no las de tu localhost. ¿no?

Semi soluciones

Enviado por anónimo el 3. Junio 2008 - 18:22.

Yo diría que los administradores de sistemas Debian no están tan preocupados porque las actualizaciones que corrigen el problema no sólo hacen que las nuevas claves se generen correctamente, sino que incluyen una lista negra que evita que las claves vulnerables sean utilizadas. No será una solución completa pero es bastante y por otro lado, en realidad las claves afectadas no se usan tanto.

que hacer?

Enviado por anónimo el 3. Junio 2008 - 19:08.

Hola, encontre que el servidor donde hospedo mis webs es vulnerable, al menos me sale este mensaje:

VULNERABLE! -
Please change this key as soon as possible!
The SSH-Keys on this machine are most likely compromised!!

Cuales deberian ser los pasos a seguir para solucionar esto?, pregunto desde el punto de vista del server para asi saberlo yo tambien.

Mira esto

Enviado por anónimo el 3. Junio 2008 - 19:12.

http://www.kriptopolis.org/chapuza-en-debian#comment-35240

desde el shell

Enviado por anónimo el 3. Junio 2008 - 19:18.

sacado del man ssh-vulnkey:

ssh-keyscan -t rsa remote.example.org | ssh-vulnkey -

Más que chapuza, despiste

Enviado por anónimo el 5. Junio 2008 - 13:35.

A mí me parece que más que una chapuza, fue un despiste muy serio. En cuanto se supo del agujero de seguridad, no tardaron mucho en sacar la actualización y notificarlo para que los administradores o responsables de los servidores pudieran corregirlo y esto muestra compromiso y seriedad.

Las utilidades para verificar el estado de los certificados es un arma de doble filo pero creo que es mejor eso que no tener nada. Gracias a ellas, he actualizado únicamente las partes susceptibles de ataque y no todas, con lo que me he ahorrado tiempo.

Saludos!

Opinar

Salvo circunstancias especiales LOS COMENTARIOS DE ESTE SITIO SERÁN MODERADOS.

Como norma general, en este sitio NO SE PUBLICARÁN aquellos comentarios que incluyan datos personales, ni direcciones de correo, ni ninguna otra forma de establecer contactos privados o comerciales. Tampoco los que no se ajusten al tema, a la netiqueta, la ortografía o la educación, así como los comentarios ofensivos o claramente publicitarios, los que no aporten nada a la discusión o los que pretendan suplantar a terceras personas.

En cualquier caso los comentarios publicados en este sitio expresan sólo la opinión de su autor, quien será el único responsable -incluso ante la Ley- de los mismos. La publicación de cualquier comentario no supone en absoluto la conformidad del responsable de este sitio con su contenido.

Para poder enviar tus comentarios no necesitas ningún registro, pero has de permitir las cookies del sitio. Sólo si deseas disponer de un alias permanente has de registrarte.

Si no aceptas estas condiciones, por favor, absténte de participar en los debates. Muchas gracias

Kriptópolis, 21 de noviembre de 2008.

  • Etiquetas HTML permitidas: <a> <em> <strong> <ul> <ol> <li> <p> <u> <br><strike> <blockquote> <div>

Más información sobre las opciones de formato...

CAPTCHA
Esta prueba busca evitar la entrada de mensajes basura automatizados. Muchas gracias por tu colaboración.
15 + 1 =
Resuelve esta sencilla operación e introduce el resultado.