Fuente: Neoteo

Berlín se ha convertido en el centro de atención de la comunidad dedicada a la seguridad informática, al presentarse al público una información sorprendente: Un grupo de investigadores utilizaron el poder combinado de nada menos que 200 consolas PlayStation 3, logrando algo que podría poner de rodillas toda la estructura de seguridad que existe en Internet hoy en día: Quebraron el SSL.

SSL viene de Secure Sockets Layer, un protocolo criptográfico que junto a su versión más avanzada, el Transport Layer Security o TLS, fueron creados para aportar seguridad a transmisiones realizadas sobre redes TCP/IP, entre las cuales por supuesto está la Internet que conocemos y utilizamos todos los días. Una gran cantidad de aplicaciones pueden utilizar estos protocolos, desde navegadores como Internet Explorer y Firefox hasta mensajeros en línea y clientes de correo electrónico.

La aparente seguridad de este protocolo, en combinación con el algoritmo de reducción conocido como md5 (Message-Digest 5) han hecho que tenga una popularidad relativamente amplia. Una gran cantidad de aplicaciones entre las que existen muchas de código abierto han implementando de forma eficiente el protocolo SSL, otorgando a los usuarios un buen nivel tanto de privacidad como de seguridad a la hora de comunicarse a través de Internet.

Sin embargo, parece que la gloria del SSL ha llegado a su fin. En Berlín se llevó a cabo la edición número 25 del Chaos Communication Congress, lugar de reunión anual para hackers y expertos en seguridad informática. Allí un grupo de investigadores presentaron lo que muchos no creían posible: Una vulnerabilidad grave en el protocolo SSL. Debido a una falla en el algoritmo md5, este grupo pudo crear una autoridad de certificados falsa, con la cual pudieron generar certificados SSL válidos para cualquier página. En resumen, pueden monitorear y modificar cualquier conexión HTTPS, y el usuario nunca se daría cuenta de ello. Claro que la creación de esta autoridad no fue algo sencillo. Aparentemente SSL fue un digno oponente, ya que se necesitó el poder de procesamiento de 200 consolas PlayStation 3 funcionando en paralelo para encontrar la combinación correcta. Si tenemos en cuenta que el costo de una PlayStation 3 está flotando alrededor de los €355 en Estados Unidos, amasar semejante capacidad de CPU costaría cerca de €71.000.

Pero vamos a ver… estamos hablando de míseros 71.000€ para poder tener a nuestro pies, TODA la información de Internet… más de uno pedirá una Play 3 por Reyes…

De todas formas, esto comprueba que ante una demostración masiva de capacidad de procesamiento, ningún sistema de seguridad está completamente a salvo. De momento, las autoridades de certificados están cambiando de md5 al algoritmo sha-1 para evitar la vulnerabilidad, pero sólo es cuestión de tiempo para que veamos qué pueden quebrar un par de genios con 200 o 300 consolas a su disposición.

Con esta información pretendo que sepais un poco más acrca de la forma en que Microsoft realiza los baneos a las consolas. Por lo que vas a leer aquí, existe una posibilidad bastante alta de baneo de tu consola si descargas copias de la red, y una posibilidad muy pequeña si haces backups de juegos originales. A continuación el sistema:

Cada juego, tiene un código unico, un unique id.

La primera vez que insertamos un juego en la Xbox 360 esta lee ese unique id y lo guarda. Tambien crea una entrada en la lista de juegos, etc….

Como sabreis, cada vez que la consola se conecta al Live, esta manda todos los datos actualizados.

Pues Microsoft guarda todas esas unique id y las vincula a tu consola. Por ejemplo:

Juego 1: 829743
Juego 2: 053452
Juego 3: 234289
Juego 4: 123768; 871263 (puede ser que tenga 2 discos del mismo juego)

Ahora, cada X tiempo, Microsoft compara en cuantas consolas estan registradas esas id

Por ejemplo, yo me llevo el juego a casa de unos cuantos de colegas, por lo tanto, esa id esta vinculada a 5 consolas. Algo normal

Otra cosa es que yo me descargue un juego, y esa id este registrada en 400.000 consolas . A partir de ahí el procedimiento es obvio

Así que si por ejemplo, usamos un backup DE VERDAD y los 2 discos se estan usando a la vez EN EL LIVE tambien puede conllevar baneo, si estan haciendo una redada en ese momento

Si en el caso anterior, jugamos offline a la vez, y despues una se conecta, y luego la otra, aunque segun el log de la consola muestre que a esa hora estaban ejecutando el mismo juego, no hay posibilidad de baneo, ya que la hora de la consola cuando está offline no es verificada.