Se encontraron más agujeros en el protocolo de seguridad SSL de la web

graves fallas en el software que utiliza el protocolo de cifrado SSL (Secure Sockets Layer) utilizado para proteger las comunicaciones en Internet.

En la conferencia Black Hat en Las Vegas el jueves, los investigadores dieron a conocer una serie de ataques que podrían utilizarse para comprometer la seguridad tráfico que viaja entre sitios web y navegadores.

Este tipo de ataque podría permitir a un atacante robar contraseñas, secuestrar una sesión bancaria en línea o incluso enviar una actualización del navegador Firefox que contuviera código malicioso, dijeron los investigadores.

[Lectura adicional: Cómo eliminar el malware de su PC con Windows]

Los problemas radican en la forma en que muchos navegadores implementaron SSL, y también en el sistema de infraestructura de clave pública X.509 que se usa para administrar los certificados digitales utilizados. por SSL para determinar si un sitio web es o no confiable.

Un investigador de seguridad que se hace llamar Moxie Marlinspike mostró una forma de interceptar el tráfico SSL usando lo que él llama un certificado de terminación nula. Para que su ataque funcione, Marlinspike primero debe obtener su software en una red de área local. Una vez instalado, detecta el tráfico SSL y presenta su certificado de terminación nula para interceptar las comunicaciones entre el cliente y el servidor. Este tipo de ataque de hombre en el medio es indetectable, dijo.

El ataque de Marlinspike es notablemente similar a otro ataque común conocido como ataque de inyección SQL, que envía datos especialmente diseñados al programa con la esperanza de engañarlo haciendo algo que normalmente no debería hacer Descubrió que si creaba certificados para su propio dominio de Internet que incluía caracteres nulos, a menudo representados con un 0, algunos programas malinterpretaban los certificados.

Eso se debe a que algunos programas dejan de leer el texto cuando ven un carácter nulo. Por lo tanto, un certificado emitido en www.paypal.com 0.thoughtcrime.org podría leerse como perteneciente a www.paypal.com.

El problema es generalizado, dijo Marlinspike, que afecta al software Internet Explorer, VPN (red privada virtual), clientes de correo electrónico y software de mensajería instantánea, y Firefox versión 3.

Para empeorar las cosas, los investigadores Dan Kaminsky y Len Sassaman informaron que habían descubierto que una gran cantidad de programas web dependen de certificados emitidos utilizando un criptográfico obsoleto tecnología llamada MD2, que durante mucho tiempo se ha considerado insegura. MD2 no se ha descifrado en realidad, pero podría ser roto en cuestión de meses por un atacante determinado, dijo Kaminsky.

El algoritmo MD2 fue utilizado hace 13 años por VeriSign para auto-firmar "uno de los certificados raíz raíz en cada navegador en el planeta ", dijo Kaminsky.

VeriSign dejó de firmar certificados usando MD2 en mayo, dijo Tim Callan, vicepresidente de marketing de productos en VeriSign.

Sin embargo," una gran cantidad de sitios web usa esta raíz, por lo que no podemos matarlo realmente o romperemos la Web ", dijo Kaminsky.

Los fabricantes de software pueden, sin embargo, decirles a sus productos que no confíen en los certificados MD2; también pueden programar sus productos para que no sean vulnerables al ataque de terminación nula. Hasta la fecha, sin embargo, Firefox 3.5 es el único navegador que ha parcheado el problema de terminación nula, dijeron los investigadores.

Esta es la segunda vez en el último semestre que SSL ha estado bajo escrutinio. A fines del año pasado, los investigadores encontraron una forma de crear una autoridad certificadora deshonesta, que a su vez podría emitir certificados falsos SSL de cualquier navegador.

Kaminsky y Sassaman dicen que hay una gran cantidad de problemas en la forma en que los certificados SSL son emitidos que los hacen inseguros. Todos los investigadores estuvieron de acuerdo en que el sistema x.509 que se usa para administrar certificados para SSL está desactualizado y necesita ser reparado.