Descubiertos serios fallos de seguridad en SSL
Se han encontrado serios fallos de seguridad en el protocolo SSL (Secure Sockets Layer), utilizado por muchas aplicaciones para asegurar las comunicaciones a través de Internet. La conferencia Black Hat mostrará hoy en Las Vegas algunos de los ataques que se pueden realizar para poner en peligro el tráfico seguro que viaja entre los sitios web y los navegadores, como el robo de contraseñas, el secuestro de las sesiones bancarias online o incluso la instalación de una actualización de Firefox que contenga código malicioso, según los expertos.
El fallo reside en la forma en que muchos navegadores han implementado SSL, y también en el sistema de infraestructura de clave pública X.509 que se utiliza para gestionar los certificados digitales que utiliza SSL para determinar si un sitio web es o no fiable.
Según Moxie Marlinspike, un investigador de seguridad, se puede interceptar el tráfico SSL usando lo que él denomina un "certificado de terminación nula". Para que el ataque funcione, Marlinkspike debe introducir su software en una red local. Una vez instalado, marca el tráfico SSL y presenta su certificado nulo para interceptar las comunicaciones entre el cliente y el servidor. Este tipo de ataque de "hombre en el medio" es indetectable, en palabras de este experto. Este ataque es muy parecido a otro ataque común conocido como inyección SQL, que envía datos modificados al programa para que se comporte de forma diferente a la habitual.
"El fallo se extiende a Internet Explorer, al software de VPN (red privada virtual), a los clientes de correo electrónico, al software de mensajería instantánea y a Firefox versión 3", explica Marlinspike.
Para más inri, los investigadores Dan Kaminsky y Len Sassaman han encontrado un gran número de programas web dependientes de los certificados emitidos por una tecnología criptográfica obsoleta llamada MD2, considerada insegura desde hace mucho tiempo.
