• Registrarse
  • Iniciar sesión


  • Resultados 1 al 2 de 2

    Un fallo podría permitir la falsificación de certificados digitales

    Un fallo podría permitir la falsificación de certificados digitales Hace 17 años, un profesor del Instituto Tecnológico de Massachusetts creaba un algoritmo de reducción criptográfica de 128 bits que fue llamado MD5, para sustituir al ...

          
    1. #1
      Ex-Colaborador Avatar de Andresmix
      Registrado
      jul 2007
      Ubicación
      Ecuador
      Mensajes
      2.252

      Atención Un fallo podría permitir la falsificación de certificados digitales

      Un fallo podría permitir la falsificación de certificados digitales


      Hace 17 años, un profesor del Instituto Tecnológico de Massachusetts creaba un algoritmo de reducción criptográfica de 128 bits que fue llamado MD5, para sustituir al anterior que contenía un agujero de seguridad que lo hacia vulnerable. Hoy un grupo de investigadores ha publicado que el MD5 es clonable y por lo tanto inseguro.


      El MD5 (Message-Digest Algorithm 5, Algoritmo de Resumen del Mensaje 5), fue creado en 1991 por Ronald Rivest. Desde entonces este sistema ha sido utilizado ampliamente para crear certificados digitales de seguridad, los cuales son utilizados para validar como auténtico un sitio web.

      Para el usuario tanto la creación como implementación de los mismos es prácticamente transparente ya que no se requiere su participación. Los navegadores son quienes mediante ciertos iconos o colores advierten el uso o no de certificados en la página web visitada.

      Por otra parte, las entidades financieras con sistemas y transacciones en línea o incluso portales de compra-venta, los utilizan para autenticar usuarios y encriptar transacciones.

      Sobre el final de 2008, un grupo de investigadores internacionales expuso un fallo en el algoritmo en una conferencia en Berlín. Demostraron como es posible clonar las credenciales de seguridad digitales sin que pierdan su validez, pero modificando los datos incluidos en el mismo.

      Si un atacante llegara a aprovecharse de esta vulnerabilidad, podría montar un sitio web falso, que con el uso de un certificado alterado maliciosamente, se mostraría ante las víctimas como auténtico. De esta manera el criminal obtendría los datos financieros que fueran ingresados en su web, permitiéndole realizar múltiples estafas con ellos.


      De todos modos, los investigadores no han publicado los detalles técnicos para evitar su explotación con fines maliciosos. Incluso afirman que el algoritmo ya fue vulnerado en 2004, y que recién en 2007 se publicó un posible tipo de ataque. En esta ocasión el peligro no reside en la decodificación sino en su imitación.

      En el pasado año dos protocolos de cifrado inalámbrico quedaron obsoletos y con fallos dejando su lugar a otros más nuevos y supuestamente mejores. Ahora MD5 también es candidato a ser sustituido.

      Microsoft ha publicado un informe de alerta en el cual recomienda el uso de algoritmos como SHA-1 u otro método para codificaciones, los cuales son soportados por los sistemas actualmente en uso. SHA-2 es relativamente nuevo y no se ha estandarizado lo suficiente como para implementarlo.

      Las empresas encargadas de realizar y validar los certificados para otras compañías deberían migrar a otros algoritmos más seguros y evitar crear nuevos.

      Al momento de la publicación no se conoce que existan ataques que se aprovechen de este fallo. Igualmente cualquier certificado creado antes de esta fecha podría seguir siendo utilizado.

      A los administradores de sitios web con certificados digitales, se les aconseja que contacten a la entidad emisora para conocer el estado de los mismos y el algoritmo utilizado en la creación.

      Fuente

      Novedades del Foro | Antivirus Online | Eliminar Malwares | Políticas del Foro | Blog


      * Ayúdanos haciendo una DONACIÓN para poder seguir Ayudando.
      * Infórmate de las ultimas amenazas de la red desde: InfoSpyware Blog
      * No se resuelven dudas por Privados ni por E-mail, ya que para eso esta el foro.

    2. #2
      Ex-Colaborador Avatar de Acron_0248
      Registrado
      jul 2005
      Ubicación
      127.0.0.1
      Mensajes
      9.734

      Re: Un fallo podría permitir la falsificación de certificados digitales

      Solo agregar (para quienes lean la noticia), que la misma es más propagandista que otra cosa, habla de muchos "posibles" y referencias vagas lo cual disminuye mucho la calidad de la misma (Ojo: No trato de decir que esto sea problema o responsabilidad del creador del tema).

      Para aclarar, el problema no reside tanto en el hecho de que el md5 es propenso a problemas de colisión (valores distintos pueden generar un mismo hash), el problema reside en la forma en que trabaja la arquitectura del manejo de certificados.

      Un root ca define un certificado el cual usa para firmar los certificados de uno o más clientes, a su vez, los navegadores vienen configurados para confíar de forma predeterminada en determinados certificados root lo que implica que si un usuario visita una página que envíe un certificado, el navegador revisará en su lista de confianza.

      Si el navegador logra verificar que uno de los certificados de confianza fue utilizado para firmar el certificado enviado por un sitio web, continúa con la utilización del sitio.

      Referente al problema actual de la infraesctructura, cuando se confía en un certificado root, todo certificado enviado por un sitio web que haya sido firmado por dicho certificado root, es aceptado por el navegador sin alertar de nada al usuario.

      Debido al problema de colisión del md5, es posible tomar un certificado root y crear uno falso que genere un hash igual al del certificado real y usar este nuevo y falso certificado para firmar certificados de sitios web, existiendo entonces la posibilidad de crear un certificado que de forma predeterminada será de confianza a ojos del navegador y todo sitio enviando certificados firmados con ese certificado falso serán de igual forma aprobados.

      De forma mas completa, el ataque consistiría en:

      a) Crear un certificado root falso que tenga un hash idéntico a uno real.

      b) Usar el certificado falso para firmar el certificado de un sitio web.

      c) Crear un sitio similar al que el usuario intentaría acceder (la página login de un banco por ejemplo) y desde este sitio enviar el certificado firmado anteriormente.

      d) Redirigir la petición de un usuario al sitio web con el certificado firmado por el certificado falso.

      Lo que finalmente me lleva a que si se han publicado (el texto está en inglés) detalles técnicos del ataque y por todo lo explicado, la falta de calidad de la noticia.
      Linux User #399288 != 1337 || Ub3|2

      Novedades del Foro | Antivirus Online | Eliminar Malwares | Políticas del Foro | Blog


      * Ayúdanos haciendo una DONACIÓN para poder seguir Ayudando.
      * Infórmate de las ultimas amenazas de la red desde: InfoSpyware Blog
      * No se resuelven dudas por Privados ni por E-mail, ya que para eso esta el foro.