Universidad Veracruzana

Skip to main content
Universidad Veracruzana

Noti_infosegura: Nuevo ataque criptográfico permite usar un equipo para generar las llaves de cifrado que protegen tráfico o datos cifrados

DUHK, un nuevo exploit es capaz de exponer redes VPN y conexiones cifradas en 4 minutos

@gabriela2400

Bautizado DUHK por los investigadores que lo descubrieron, este nuevo ataque criptográfico permite a un atacante usar un ordenador moderno cualquiera para generar las llaves de cifrado que protegen conexiones VPN, sesiones de navegación seguras y otro tipo de tráfico o datos cifrados en apenas unos cuatro minutos.

La investigación fue publicada por tres investigadores de la Universidad de Pensilvania y la Universidad Johns Hopkins. Ahí explican cómo usaron el exploit para interceptar el tráfico cifrado de varios dispositivos que utilizan empresas alrededor del mundo como cortafuegos o para crear redes VPN privadas.

No ta malo como KRACK, pero casi

DUHK, cuyas silgas hacen referencia a «Don’t Use Hard-coded Keys» (no uses claves estáticas), es una vulnerabilidad que combina dos problemas:

  • Afecta dispositivos que usan al algoritmo RNG ANSI X9.31 para generar sus claves de cifrado, y este es uno que se usa de forma común para asegurar redes VPN y sesiones de navegación.
  • Esto, sumado a que la clave de cifrado es estática y reside en el mismo código del firmware afectado, hacen que el atacante pueda recuperar las claves de una implementación vulnerable.

La semana pasada la noticia que colmaba las portadas era KRACK, la vulnerabilidad que dejaba expuesto el protocolo WPA2 que usan básicamente todos los dispositivos WiFi modernos.

Ahora, DUHK es una vulnerabilidad diferente y que solo afecta a aquellos dispositivos que usen el método vulnerable de negociación de claves que describen los investigadores. Sin embargo, no es nada trivial, y para citar a uno de sus descubridores «todo el asunto es bastante deprimente«.

Para el usuario de soluciones critpgráficas la única recomendación es mantener actualizados sus sistemas siempre. Lo demás depende de quienes implementan este tipo de técnicas en sus productos, especialmente aquellos que usan claves estáticas de cifrado en lugar de regenerar las claves constantemente.

 

Fuente: https://www.genbeta.com/

Fecha de consulta: 25 octubre 2017

Ubicación

Rectoría.
Lomas del Estadio SN.
Col. Zona Universitara.
Xalapa, Veracruz.

(228) 8 421700, Ext. 11532

Transparencia
Transparencia
Información financiera presupuestal Gobierno Abierto Avisos de Privacidad

Código de ética

Última actualización

Fecha: 14 abril, 2024 Responsable: Coordinación de Gestión de Incidentes de Ciberseguridad Contacto: contactocsirt@uv.mx