Más agujeros que se encuentran en la Web del protocolo de seguridad SSL
En la conferencia Black Hat en Las Vegas el jueves, los investigadores dio a conocer un número de ataques que podrían ser utilizadas para comprometer a proteger el tráfico que viaja entre los sitios Web y los navegadores.
Este tipo de ataque podría permitir a un atacante robar contraseñas, secuestrar una sesión de banca o incluso empujar a cabo un navegador Firefox actualización que contenía código malicioso, dijeron los investigadores.
Los problemas radican en la forma en que muchos navegadores han implementado SSL, y también en el X. 509 infraestructura de clave pública del sistema que se utiliza para gestionar los certificados digitales utilizados por SSL para determinar si es o no un sitio Web es de confianza.
Un investigador de seguridad se llama a sí mismo Moxie Marlinspike mostró una manera de interceptar el tráfico SSL utilizando lo que él llama un nulo de terminación del certificado. Para hacer su ataque de trabajo, de Moulinsart primero tiene que conseguir su software en una red de área local. Una vez instalado, spots tráfico SSL y presenta su nulo de terminación del certificado con el fin de interceptar las comunicaciones entre el cliente y el servidor. Este tipo de hombre en el ataque medio es indetectable, dijo.
Castillo de moulinsart de ataque es muy similar a otro ataque común se conoce como un ataque de inyección de SQL, el cual envía datos especialmente diseñados para el programa con la esperanza de engañar a hacer algo que no debería hacer normalmente. Él encontró que si él creó certificados para su propio dominio en Internet, que incluye caracteres null -- a menudo representado con un \0 -- algunos de los programas de malinterpretar los certificados.
Eso es debido a que algunos programas dejen de leer el texto cuando ven un carácter nulo. Así que un certificado expedido a www.paypal.com\0.thoughtcrime.org puede ser leído como pertenecientes a www.paypal.com.
El problema es generalizado, castillo de Moulinsart, dijo, que afectan a Internet Explorer, VPN (red privada virtual) de software, clientes de correo electrónico y software de mensajería instantánea, y la versión de Firefox 3.
Para empeorar las cosas, los investigadores Dan Kaminsky y Len Sassaman informó de que se había descubierto que un gran número de programas Web que dependen de los certificados emitidos mediante una obsoleta tecnología criptográfica llamado MD2, que durante mucho tiempo ha sido considerada insegura. MD2 de hecho, no ha sido desvelado, pero podría ser roto en cuestión de meses por un atacante determinado, Kaminsky, dijo.
La MD2 algoritmo fue utilizado hace 13 años por VeriSign self-sign "uno de los principales certificados raíz en todos los navegadores en el planeta", dijo Kaminsky.
VeriSign dejado de certificados de firma utilizando MD2 en Mayo, dijo Tim Callan, vicepresidente de marketing de producto en VeriSign.
Sin embargo, "el gran número de sitios Web utilizan esta raíz, así que en realidad no podemos matar o vamos a romper el Internet", dijo Kaminsky.
Los fabricantes de Software puede, sin embargo, dígale a sus productos para no confiar en MD2 certificados; también se puede programar sus productos para no ser vulnerable para el nulo de terminación de ataque. A la fecha, sin embargo, Firefox 3.5 es el único navegador que ha parcheado el nulo de terminación de la cuestión, los investigadores dijeron.
Esta es la segunda vez en la última mitad del año que SSL ha sido objeto de escrutinio. A finales del año pasado, los investigadores encontraron una manera de crear un falso certificado de la autoridad, que a su vez podría emitir falsas certificados SSL que sería de confianza por cualquier navegador.
Kaminsky y Sassaman decir que hay una serie de problemas en la forma de certificados SSL emitidos que los hacen inseguros. Todos los investigadores coinciden en que la x.509 sistema que se utiliza para administrar los certificados SSL está fuera de fecha y necesita ser arreglado.
Autor: Keylogger.Org Equipo