lunes, 9 de junio de 2008

Disponibles servicios web de escaneo de vulnerabilidades en claves SSL y SSH

La chapuza realizada por la gente de Debian fue muy gorda, pero sus consecuencias están aún por ver.

Las empresas de certificación que se han ofrecido a comprobar gratis los posibles certificados afectados no han tenido ningún éxito, lo que lleva a pensar que o bien todos los administradores conocen perfectamente el problema y son muy, pero que muy competentes, o bien que aún existen miles de sitios cuya seguridad pende de un hilo.

Por eso, la aparición de páginas web dirigidas a comprobar si las claves SSH o SSL de un sitio están afectadas representa un arma de doble filo, y el hecho de que cualquiera pueda comprobar con tanta comodidad la fortaleza de las claves de cualquier sitio sin mediar ningún tipo de autenticación no me permite ser muy optimista.

Un tímido aviso en el sentido de que se imponen severos límites al uso de los scripts para impedir abusos, no parece suficiente.

En cualquier caso no sirve de mucho esconder la cabeza o mirar hacia otro lado. Mejor saber que estas herramientas -y otras similares- existen y además están libremente disponibles.

Fuente: http://www.kriptopolis.org/disponible-escaneo-claves-ssh-ssl