3 ago 2009

SSL ¿no es seguro después de todo?

Con la mayoría de la cobertura periodística de la conferencia Black Hat de Las Vegas cubriendo la historia del hacking por SMS del iPhone, siempre queda el peligro que alguna otra noticia realmente importante quede sepultada. Tal como el pequeño punto que los investigadores de seguridad en Black Hat estuvieron demostrando alguna vulnerabilidades realmente preocupantes que impactan sobre el más sagrado de los protocolos de seguridad, el SSL (Secure Sockets Layer.)

Moxie Marlinspike mostró como ataques man-in-the-middle pueden engañar a los navegadores web y clientes de correo electrónico para que piensen que un sitio falso es legítimo, cortesía de fallas en SSL mediante la intercepción del tráfico por medio de un certificado de terminación nulo. Marlinspike ha adaptado su herramienta SSLSniff para obtener páginas SSL falsificadas y registrar todo el tráfico entrante y saliente en lugar de ir por medio de un canal cifrado. Mientras que Firefox 3.5 está protegido contra este ataque, las versiones anteriores no los están, ni tampoco Chrome o IE8 aunque el último tiene certificados de firma de código como una capa adicional de seguridad es mas difícil de llevar a cabo.

Dan Kaminsky, si el mismo Dan Kaminsky quien descubrió el fallo más grande jamás hallado en DNS el año pasado, también estaba presentando sobre la inseguridad de SSL. Junto con Len Sassamna se las arreglaron para engañar a una CA (Certificate Authority) en emitir un certificado para un dominio que no poseían usando un truco en la nomenclatura que explota una vulnerabilidad en el protocolo X.509 usado para generar conexiones SSL.

Traducción: Raúl Batista - Segu-info
Autor: Davey Winder
Fuente: ITPRO

Suscríbete a nuestro Boletín

0 Comments:

Publicar un comentario

Gracias por dejar un comentario en Segu-Info.

Gracias por comentar!