Sé que ya hemos tenido algunos defectos en SSL / TLS, como Heartbleed, POODLE, FREAK y otros, pero todos estos fueron problemas localizados:
- Heartbleed fue un error fácilmente explotable en OpenSSL, una implementación específica;
- POODLE fue un ataque de tiempo en SSL3, que está desactualizado;
- FREAK fue un ataque a las suites de exportación, una vulnerabilidad deliberada causada por la legislación.
Sin embargo, supongamos que tenemos un defecto con las siguientes propiedades:
- Originalmente ya estaba presente en TLS 1.0, pero no se detectó todo este tiempo y no se eliminó en 1.1 o 1.2.
- El defecto está en la especificación y no depende de la implementación;
- El defecto es un defecto fundamental en la especificación y una simple solución de curita no será suficiente.
- El atacante puede explotar fácilmente el defecto para permitir escuchar en una conexión cifrada en tiempo real.
Ahora, no estoy lo suficientemente familiarizado con la especificación TLS para saber si y dónde es posible tal defecto (y espero que tal defecto no esté presente), pero incluso con todo el escrutinio de que la especificación TLS ha sido sometida Para, no es 100% imposible.
En caso de que se descubriera un defecto en las propiedades anteriores antes de fin de año, ¿cuál sería la consecuencia para internet?