Ya os habréis enterado todos del problema que ha habido con los números pseudo aleatorios de openssl en el paquete de Debian.
No voy a comentar el problema, pues hay muchos mejores sitios que lo hacen con más conocimiento que yo, sólo voy a poner una lista de webs interesantes que tratan el tema. Lo grave de este bug, no es el bug en sí, sino que se han creado muchas dudas sobre el código abierto. Sobre este tema se puede leer los comentarios que se han dejado en el enlace de kriptopolis.
No voy a comentar el problema, pues hay muchos mejores sitios que lo hacen con más conocimiento que yo, sólo voy a poner una lista de webs interesantes que tratan el tema. Lo grave de este bug, no es el bug en sí, sino que se han creado muchas dudas sobre el código abierto. Sobre este tema se puede leer los comentarios que se han dejado en el enlace de kriptopolis.
Webs que tratan el tema:
- Hispasec -Graves problemas en el algoritmo que genera los números aleatorios en Debian
- Preguntas frecuentes sobre el problema critptográfico de Debian
- http://www.kriptopolis.org/chapuza-en-debian
- http://lbello.livejournal.com/52684.html (hilo del blog del que descrubrió el error)
- http://blog.drinsama.de/erich/en/linux/2008051401-consequences-of-sslssh-weakness.html (trata sobre las implicaciones del bug en otras distribuciones)
Webs con herramientas:
- http://metasploit.com/users/hdm/tools/debian-openssl/
- http://www.securityfocus.com/archive/1/492112/30/0/threaded
- http://mag.entropy.be/blog/2008/05/13/how-badly-debianubunutu-openssl-is-fscked-up/ (se puede ver el número de repeticiones de claves que hace openssl de una forma muy sencilla y rápida)
No hay comentarios:
Publicar un comentario