La RSA aconseja a los desarrolladores no usar sus productos, ya que, según ellos, la NSA los pudo manipular.
Parece que el tema de la NSA, sigue levantando ampollas, y que mas de una empresa se seguridad informática, están dandose cuenta de que la colaboración con ellos, al margen de la ley, solo puede traer problemas, o lo que es peor, bajadas en sus cuentas de resultados, el ultimo ejemplo, la en otros tiempos todopoderosa RSA, esta mandando avisos a sus desarrolladores sobre, lo que parece ser , la manipulación de sus códigos y productos por la NSA
por lo cual, La empresa RSA Security está recomendando encarecidamente a sus desarrolladores que dejen de usar sus algoritmos hasta que el NIST (National Institute of Standards and Technology) logre resolver los problemas de seguridad que esos algoritmos, lo cual parece ser causados por la NSA
El generador de números pseudoaleatorios (DUAL_EC_DRBG) es el sistema por defecto para que tanto las librerías como otros productos de la división BSafe de la RSA funcionen, pero sus responsables han informado ya a los desarrolladores de cómo utilizar otras alternativas, ya que ese generador ha sido modificado por la NSA.
De hecho, los documentos filtrados por Edward Snowden indicaron que ya hace seis años había problemas de seguridad en ese generador, y que la única agencia que editaba dicho sistema era la NSA.
Eso permitiría a la NSA interceptar conexiones “seguras” (actualmente no) SSL/TLS hechas entre productos implementados con BSafe, y aunque no es posible saber si la NSA realmente ha aprovechado tal capacidad, la RSA ha querido guardarse las espaldas hasta tratar de resolver el problema.
Algunos creen que la RSA ya hizo una mala elección con ese generador de números pseudoaleatorios hace años, y ahora las consecuencias podrían ser graves para una empresa cuyo negocio precisamente se basa en la confianza de sus clientes y usuarios. De hecho, hace dos años esta empresa se vio afectada por una brecha de seguridad en sus productos SecurID, y ahora las dudas sobre la validez de sus soluciones vuelve a hacerse patente.
Vía | Cryptography Engineering
No hay comentarios:
Publicar un comentario
Deja tus opiniones y/o comentarios, nos sirven para mejorar nuestro blog, gracias