Últimas noticias
- Usuarios de Skype afectados por ransomware en anuncios maliciosos 01-Abr-2017
- Java y Flash encabezan la lista programas más obsoletos 31-Mar-2017
- Apple soluciona error en Safari usado en ataques de ransomware 28-Mar-2017
- Utilizan botnet GiftGhostBot para robar saldos de tarjetas de regalo 28-Mar-2017
- Expertos señalan que hay archivos sensibles expuestos en Docs.com 28-Mar-2017
- Spammers modifican archivos RTF para ocultar malware 27-Mar-2017
- Estafas de bitcoins infestan las redes sociales 25-Mar-2017
Facebook solicita a los desarrolladores SHA-2 a partir de octubre
Facebook notificó a los desarrolladores de aplicaciones que, a partir del 1 de octubre, las aplicaciones que no sean compatibles con SHA-2 ya no podrán conectarse a su red.
Con el anuncio del martes, el gigante de la tecnología ha alcanzado a Google, Mozilla y Microsoft en la desaprobación de los algoritmos hash SHA-1 y anteriores.
"Estos cambios son parte de la forma en que los navegadores y sitios web cifran el tráfico para proteger el contenido de las comunicaciones en línea", dijo el ingeniero de producción de Facebook, Adam Gross, al hacer el anuncio.
Se ha divulgado que SHA-1 debe ser eliminado de las nuevas aplicaciones e implementaciones existentes desde hace tiempo, dada la reducción de costos de potencia de procesamiento, especialmente con los servicios basados en la nube disponibles en Amazon y otros, los expertos han predicho que un ataque de colisión práctica contra SHA-1 sería posible en 2018.
Las colisiones se producen cuando un atacante es capaz de generar un certificado con la misma firma que el certificado original. Aunque es matemáticamente posible, un ataque de colisión incluso contra una debilitada SHA-1, tomaría recursos de hardware significativos para poder ser ejecutado.
"Un ataque de colisión, por lo tanto, está dentro del rango de lo que un grupo de crimen organizado podría costear para el año 2018; y un proyecto de investigación de la universidad, para el año 2021", dijo Jesse Walker, coautor junto con Bruce Schneier de Skein, finalista en el concurso SHA-3 patrocinado por NIST. Walker estimó costos, basados en las tasas de Amazon, que serían de alrededor de 173 mil dólares en 2018 y podrían bajar a 43 mil para el año 2021.
Facebook mencionó que planea actualizar sus servidores para que dejen de aceptar SHA-1 tres meses antes de la fecha límite del 1 de enero de 2016, establecida en los requisitos de referencia publicados por el CA/Browser Forum.
"Recomendamos a los desarrolladores comprobar que sus aplicaciones, SDK o dispositivos que se conectan a Facebook garanticen el estándar SHA-2. Si su aplicación ya es compatible con este estándar, entonces no hay acción necesaria", dijo Gross. "Pero si su aplicación utiliza la verificación de certificados basada en SHA-1, entonces las personas pueden encontrar fallos en su aplicación si no le es posible actualizarla."
