¿TRANSACCIONES SEGURAS?: NO. Acerca del SSL
La mayoria de las "teoricas" transacciones seguras de comercio electronico en internet se realizan mediante SSL. El famoso xandadito amarillo que podemos ver en ciertas paginas en nuestro navegador. Está basado en el calsico cifrado de clave pública que puede parecen "intimidatorio" para un hacker novato. Se puede encontrar una descripcion del funcionamiento en:
http://wp.netscape.com/security/tec...s/ssl.html
Recordemos, que SSL es una especificacion de seguridad, y como tal, se enceuntra sujeta a interpretaciones por aquellos que desarrollan productos de software. Si se cometen errores, la seguridad de la especificacion queda reducida a cero. Más adelante veremos un ejemplo de un defecto de implementacion.
Actualmente el protocolo de cifrado mas potente disponible es de 128 bits y está implementado en todas las versiones de los actuales navegadores. Hasta hace uno años, esto no era posible debido a que las leyes de esportacion de los EEUU consideraban a las claves de cifrado mayures de 40 bits, como "material de guerra".
Veamos el tema anterior, con respecto a la violacion de un certificado SSL de un sitio web legitimo. EN teoria, esta violación sería invalidada gracias a una verificacion cruzada de la identidad del certificado con el nombre DNS y direccion IP del servidor que se encuentra al otro extremo de la conexion. Esta es la teoria de la especificacion SSL.
Sin embargo, el ACROSS Security Team de Eslovenia descubrió por ejemplo, un defecto en la implementacion en las antiguas versiones de Netscape anteriores a la 4.73: en estas versiones cuando se establece una sesion SSL el navegador solo comparaba la direccion IP y no el nombre DNS de un certificado contra las sesiones SSL existentes. Por tanto, engañanado al explorador para que abra una sesion SSL en un servidor web malintencionado que se hagapasar por otro servidor legitimo todas las sesiones SSL posteriores que se establezcan con el servidor web legitimo terminarian finalmente en el servidor malintecionado sin que el usuario recibira ninguno de los mensajes de aviso normales.
Lo anterior, que parece un poco "liado" se puede obtener una explicacion detallada en
http://www.cert.org/advisories/CA-2000-05.html
Merece la pena entender las implicaciones relacionadas con esta "primera" vulnerabilidad descubierta a la implementacion del protocolo SSL. Demasiada gente cree que una vez que el icono del candado SSL aparece en su explorador los problemas de seguridad ya han desaparecido. ACROSS demostró que esto nunca podrás ser así mientras el ser humando intervenga en el desarrollo del software.
Una vulnerabilidad similar fue descubierta en el IE, salvo que el problema del Internet Explorer era que solo realizaba la comprobacion de si el certificado había sido emitido por una autoridad de certificación válida sin molestarse tambien en verificar el nombre del servidor y la fecha de caducidad.
Estas verificaciones solo se llevan a cabo cuando la conexion SSL realizada con el servidor SSL se efectua a través de un marco o de una imagen lo cual es una forma bastante poco eficaz de configurar sesiones SSL nada inteligentes que los usuarios pueden no advertir. IE tambien fracasaba a la hora de volver a validar el certificado si se establecía una nueva sesion SSL con el mismo servidor durante la misma sesion IE.
Las unicas alternativas que nos quedan es tener siempre al dia las ultimas versiones del navegador. Los fabricantes, de acuerdo con la industria del comercio electronico, priman sobre todo la resolucion de posibles problemas de seguridad debido a la implementacion del estandar SSL.
Jose Manuel Tella Llop
MVP - Windows
jmtella@XXXcompuserve.com (quitar XXX)
http://www.multingles.net/jmt.htm
Este mensaje se proporciona "como está" sin garantías de ninguna clase, y no otorga ningún derecho.
This posting is provided "AS IS" with no warranties, and confers no rights.
You assume all risk for your use.
Leer las respuestas