Google pagará 500 dólares por vulnerabilidad encontrada en Chrome

Google ha lanzado un programa experimental para animar a los expertos en seguridad externos a su empresa a encontrar y reportar vulnerabilidades en su navegador. Siguiendo la estela del programa de la Fundación Mozilla «Security  Bug Bounty», Google pagará 500 dolares por vulnerabilidad encontrada. En casos especiales, un comité decidirá si incrementa dicha cantidad hasta un máximo de 1.337 dólares, aunque este último caso será para vulnerabilidades especialmente críticas o aquellas que acompañen informes sobre su explotación.

Según Google, no importa si la vulnerabilidad está en la versión open source Chromium o en la versión «normal» de Chrome. De todas formas, las dos versiones se diferencian escasamente: Chrome incorpora GoogleUpdater y envía un parámetro RLZ, que es seguido por Google, cuando se introduce una búsqueda en la barra de direcciones de Chrome. La empresa no dará premios a los que encuentren fallos en plug-ins de terceros.

Google espera que esta campaña mejore la seguridad de su navegador y, por extensión, la de sus usuarios. Cualquier bug encontrado puede ser notificado a través del sistema de seguimiento de fallos. Podéis encontrar más información y una lista de en la entrada del blog de Google que anuncia el programa.

Vulnerabilidades encontradas en el algoritmo hash MD5 permiten la creación de certificados fraudulentos

Vulnerabilidades encontradas en el algoritmo hash MD5 permiten la creación de certificados fraudulentos, esto podría traer consigo la creación de sitios phishing con certificados aparentemente válidos.

Una vulnerabilidad encontrada en el algoritmo hash MD5 es aprovechada para generar certificados digitales fraudulentos, esto en gran medida puede conllevar al engaño por la creación de sitios phishing que aparentemente son válidos. El problema fue dado a conocer en el evento «chaos Communications Conference» celebrado en Berlin el pasado mes

Las autoridades certificadoras que implementen el uso de este algoritmo deben de cambiar hacia el uso de SHA1 para poder proteger la integridad de sus certificados. Un gran numero de autoridades certificadoras utilizan el algoritmo MD5 para la generación de sus certificados, y un 14% de sitios web estan utilizando certificados que fueron generados con este algoritmo.

Para muchos, los ataques que derive esta vulnerabilidad no es de gran sorpresa debido a que la debilidad descubierta sobre el algoritmo MD5 habia sido conocida desde el 2004.

Uno puede ver el historial de esta vulnerabilidad en la siguiente liga :
http://isc.sans.org/diary.html?storyid=5590, ahora bien si se quiere verificar el certificado de nuestro sitio podemos hacerlo online mediante site http://www.networking4all.com/nl/helpdesk/tools/site+check/

Otros sitios de interes con respecto a esta nota :

http://gcn.com/Articles/2008/12/31/SSL-certs-busted.aspx?p=1
http://www.securityfocus.com/news/11541
http://www.heise-online.co.uk/security/25C3-MD5-collisions-crack-CA-certificate–/news/112327
http://www.securityfocus.com/brief/880

Saludos Cordiales