KeePass 2.34 soluciona la vulnerabilidad MitM en su actualización

Vuelvo a la carga con los gestores de contraseñas. Ya es conocida mi reticencia a dichos servicios como comenté en el erticulo de EnPass, y esta vulnerabilidad de KeePass me da otra razón más para evitar este tipo de servicios, pero si aún así sois usuarios de ellos os dejo este artículo con el consejo de que actualicéis cuanto antes la aplicación.

KeePass ha sido vulnerable durante largo tiempo a los ataques MitM, o Man in the middle (Hombre en el medio) o JANUS, que por todos esos nombres se puede conocer a este tipo de malware, y es básicamente "un ataque en el que se adquiere la capacidad de leer, insertar y modificar a voluntad, los mensajes entre dos partes sin que ninguna de ellas conozca que el enlace entre ellos ha sido violado".

Esquema básico de un ataque MitM o JANUS

KeePass es uno de los mejores gestores de contraseñas de la red según dicen los clientes de gestores de este tipo. Dicen sus creadores que esta herramienta es "totalmente gratuita y de código abierto, lo que garantiza que está libre de puertas traseras y vulnerabilidades ocultas al contrario de lo que ocurre con otras herramientas similares de código privativo". Lo cual habéis comprobado que no es cierto pués de ser así no estaríamos leyendo este artículo.

El nuevo KeePass 2.34 añade finalmente el uso del protocolo HTTPS (uso que se debería de instarar como básico en los gestores de contraseñas) para comprobar la existencia de nuevas versiones y, además, añade una verificación de firma digital de manera que se compruebe la autenticidad de la aplicación y que esta no ha sido modificada, previniendo todo tipo de ataques MITM.

Interface del gestor KeePass

Debido a que la vulnerabilidad de las actualizaciones afecta a todas las versiones anteriores a 2.34, lo mejor para instalar esta nueva versión es descargarla directamente desde su página web principal de manera que evitemos caer víctimas de un ataques MITM en un último momento.

KeePass 2.34 se encuentra disponible tanto en formato instalable como portable, y podéis descargarlo desde su página web de KeePass

 contraseñas de la red. Esta herramienta es totalmente gratuita y de código abierto, lo que garantiza que está libre de puertas traseras y vulnerabilidades ocultas al contrario de lo que ocurre con otras herramientas similares de código privativo como LastPass. - See more at: http://www.redeszone.net/2016/06/13/keepass-2-34-soluciona-la-peligrosa-vulnerabilidad-mitm-actualizaciones/#sthash.XGVBbXIS.dpuf

ePass es uno de los mejores gestores de contraseñas de la red. Esta herramienta es totalmente gratuita y de código abierto, lo que garantiza que está libre de puertas traseras y vulnerabilidades ocultas al contrario de lo que ocurre con otras herramientas similares de código privativo como LastPass. - See more at: http://www.redeszone.net/2016/06/13/keepass-2-34-soluciona-la-peligrosa-vulnerabilidad-mitm-actualizaciones/#sthash.XGVBbXIS.dpuf