[Articulo] ¿transacciones seguras en internet? ¿es seguro el SSL?

30/07/2004 - 20:45 por JM Tella Llop [MVP Windows] | Informe spam
¿TRANSACCIONES SEGURAS?: NO. Acerca del SSL


La mayoria de las "teoricas" transacciones seguras de comercio electronico en internet se realizan mediante SSL. El famoso xandadito amarillo que podemos ver en ciertas paginas en nuestro navegador. Está basado en el calsico cifrado de clave pública que puede parecen "intimidatorio" para un hacker novato. Se puede encontrar una descripcion del funcionamiento en: http://wp.netscape.com/security/tec...s/ssl.html

Recordemos, que SSL es una especificacion de seguridad, y como tal, se enceuntra sujeta a interpretaciones por aquellos que desarrollan productos de software. Si se cometen errores, la seguridad de la especificacion queda reducida a cero. Más adelante veremos un ejemplo de un defecto de implementacion.

Actualmente el protocolo de cifrado mas potente disponible es de 128 bits y está implementado en todas las versiones de los actuales navegadores. Hasta hace uno años, esto no era posible debido a que las leyes de esportacion de los EEUU consideraban a las claves de cifrado mayures de 40 bits, como "material de guerra".

Veamos el tema anterior, con respecto a la violacion de un certificado SSL de un sitio web legitimo. EN teoria, esta violación sería invalidada gracias a una verificacion cruzada de la identidad del certificado con el nombre DNS y direccion IP del servidor que se encuentra al otro extremo de la conexion. Esta es la teoria de la especificacion SSL.

Sin embargo, el ACROSS Security Team de Eslovenia descubrió por ejemplo, un defecto en la implementacion en las antiguas versiones de Netscape anteriores a la 4.73: en estas versiones cuando se establece una sesion SSL el navegador solo comparaba la direccion IP y no el nombre DNS de un certificado contra las sesiones SSL existentes. Por tanto, engañanado al explorador para que abra una sesion SSL en un servidor web malintencionado que se hagapasar por otro servidor legitimo todas las sesiones SSL posteriores que se establezcan con el servidor web legitimo terminarian finalmente en el servidor malintecionado sin que el usuario recibira ninguno de los mensajes de aviso normales.

Lo anterior, que parece un poco "liado" se puede obtener una explicacion detallada en http://www.cert.org/advisories/CA-2000-05.html

Merece la pena entender las implicaciones relacionadas con esta "primera" vulnerabilidad descubierta a la implementacion del protocolo SSL. Demasiada gente cree que una vez que el icono del candado SSL aparece en su explorador los problemas de seguridad ya han desaparecido. ACROSS demostró que esto nunca podrás ser así mientras el ser humando intervenga en el desarrollo del software.

Una vulnerabilidad similar fue descubierta en el IE, salvo que el problema del Internet Explorer era que solo realizaba la comprobacion de si el certificado había sido emitido por una autoridad de certificación válida sin molestarse tambien en verificar el nombre del servidor y la fecha de caducidad.

Estas verificaciones solo se llevan a cabo cuando la conexion SSL realizada con el servidor SSL se efectua a través de un marco o de una imagen lo cual es una forma bastante poco eficaz de configurar sesiones SSL nada inteligentes que los usuarios pueden no advertir. IE tambien fracasaba a la hora de volver a validar el certificado si se establecía una nueva sesion SSL con el mismo servidor durante la misma sesion IE.

Las unicas alternativas que nos quedan es tener siempre al dia las ultimas versiones del navegador. Los fabricantes, de acuerdo con la industria del comercio electronico, priman sobre todo la resolucion de posibles problemas de seguridad debido a la implementacion del estandar SSL.



Jose Manuel Tella Llop
MVP - Windows
jmtella@XXXcompuserve.com (quitar XXX)
http://www.multingles.net/jmt.htm

Este mensaje se proporciona "como está" sin garantías de ninguna clase, y no otorga ningún derecho.

This posting is provided "AS IS" with no warranties, and confers no rights.
You assume all risk for your use.
 

Leer las respuestas

#1 Peni
30/07/2004 - 20:53 | Informe spam
Quizás cuando las tarjetas inteligentes se generalicen, las cosas cambien
...



Saludos. Peni


"JM Tella Llop [MVP Windows]" escribió en el mensaje
news:
¿TRANSACCIONES SEGURAS?: NO. Acerca del SSL
-

La mayoria de las "teoricas" transacciones seguras de comercio electronico
en internet se realizan mediante SSL. El famoso xandadito amarillo que
podemos ver en ciertas paginas en nuestro navegador. Está basado en el
calsico cifrado de clave pública que puede parecen "intimidatorio" para un
hacker novato. Se puede encontrar una descripcion del funcionamiento en:
http://wp.netscape.com/security/tec...s/ssl.html

Recordemos, que SSL es una especificacion de seguridad, y como tal, se
enceuntra sujeta a interpretaciones por aquellos que desarrollan productos
de software. Si se cometen errores, la seguridad de la especificacion queda
reducida a cero. Más adelante veremos un ejemplo de un defecto de
implementacion.

Actualmente el protocolo de cifrado mas potente disponible es de 128 bits y
está implementado en todas las versiones de los actuales navegadores. Hasta
hace uno años, esto no era posible debido a que las leyes de esportacion de
los EEUU consideraban a las claves de cifrado mayures de 40 bits, como
"material de guerra".

Veamos el tema anterior, con respecto a la violacion de un certificado SSL
de un sitio web legitimo. EN teoria, esta violación sería invalidada gracias
a una verificacion cruzada de la identidad del certificado con el nombre DNS
y direccion IP del servidor que se encuentra al otro extremo de la conexion.
Esta es la teoria de la especificacion SSL.

Sin embargo, el ACROSS Security Team de Eslovenia descubrió por ejemplo, un
defecto en la implementacion en las antiguas versiones de Netscape
anteriores a la 4.73: en estas versiones cuando se establece una sesion SSL
el navegador solo comparaba la direccion IP y no el nombre DNS de un
certificado contra las sesiones SSL existentes. Por tanto, engañanado al
explorador para que abra una sesion SSL en un servidor web malintencionado
que se hagapasar por otro servidor legitimo todas las sesiones SSL
posteriores que se establezcan con el servidor web legitimo terminarian
finalmente en el servidor malintecionado sin que el usuario recibira ninguno
de los mensajes de aviso normales.

Lo anterior, que parece un poco "liado" se puede obtener una explicacion
detallada en http://www.cert.org/advisories/CA-2000-05.html

Merece la pena entender las implicaciones relacionadas con esta "primera"
vulnerabilidad descubierta a la implementacion del protocolo SSL. Demasiada
gente cree que una vez que el icono del candado SSL aparece en su explorador
los problemas de seguridad ya han desaparecido. ACROSS demostró que esto
nunca podrás ser así mientras el ser humando intervenga en el desarrollo del
software.

Una vulnerabilidad similar fue descubierta en el IE, salvo que el problema
del Internet Explorer era que solo realizaba la comprobacion de si el
certificado había sido emitido por una autoridad de certificación válida sin
molestarse tambien en verificar el nombre del servidor y la fecha de
caducidad.

Estas verificaciones solo se llevan a cabo cuando la conexion SSL realizada
con el servidor SSL se efectua a través de un marco o de una imagen lo cual
es una forma bastante poco eficaz de configurar sesiones SSL nada
inteligentes que los usuarios pueden no advertir. IE tambien fracasaba a la
hora de volver a validar el certificado si se establecía una nueva sesion
SSL con el mismo servidor durante la misma sesion IE.

Las unicas alternativas que nos quedan es tener siempre al dia las ultimas
versiones del navegador. Los fabricantes, de acuerdo con la industria del
comercio electronico, priman sobre todo la resolucion de posibles problemas
de seguridad debido a la implementacion del estandar SSL.



Jose Manuel Tella Llop
MVP - Windows
(quitar XXX)
http://www.multingles.net/jmt.htm

Este mensaje se proporciona "como está" sin garantías de ninguna clase, y no
otorga ningún derecho.

This posting is provided "AS IS" with no warranties, and confers no rights.
You assume all risk for your use.

Preguntas similares