Los empleados deciden en qué idioma publican sus entradas.
Puedes encontrar más contenidos seleccionando el idioma inglés en el enlace superior.

Apple y los certificados falsos

1 Malo2 Mejorable3 Normal4 Bueno5 Excelente (Votos: 2. Media: 4,50/5)
Loading ... Loading ...

Autor: Erik Miguel Fernández

 

El martes salió la noticia de que se había detectado en Irán un ataque de suplantación SSL contra los usuarios que querían conectarse a la web de Gmail.

Se trata de un ataque man-in-the-middle en el que se emplea un certificado falso. Cuando el usuario intenta conectarse a Google de forma segura, en realidad se conecta al atacante, que para establecer la conexión le envía un certificado falso diciendo que es Google. La autoridad certificadora es legítima (DigiNotar), pero DigiNotar no tiene autoridad para expedir certificados de Google.

El problema es que en algunos sistemas y navegadores se chequea que la autoridad certificadora es legítima, pero no se chequea que además de ser legítima tenga autoridad para emitir ese certificado en particular.

El resultado en esos navegadores es que el usuario no percibe absolutamente nada y cree estar en una conexión segura con Google, cuando en realidad está en una conexión segura con el atacante (que a su vez establece una conexión segura con Google para redirigirle el tráfico y que el usuario no perciba nada). Con ello, el atacante tiene acceso a todo lo que circule por la conexión (usuario, contraseña, correos enviados o leídos, destinatarios, etc.). También podría manipular la conexión para enviar información falsa al usuario, ocultarle información, suplantar al usuario para enviar información en su nombre, etc.

 Si el navegador está programado correctamente, en estos casos debe generar una alerta de seguridad para avisar al usuario (otra cosa es que el usuario decida ignorar la alerta y conectarse de todos modos…)

Ayer jueves nos enteramos que además de Gmail y otros servicios de Google, también han sido atacadas por el mismo sistema las conexiones de usuarios iraníes a Yahoo, Mozilla y WordPress, entre otras. Se sospecha que puede estar un Gobierno (presumiblemente el iraní) detrás del ataque.

 La entidad certificadora (DigiNotar, de Holanda) ha reconocido que le han robado una docena de certificados en un ataque que sufrió en julio de hackers iraníes. Mientras se resuelve el problema, tanto Google (Chrome), como Microsoft (Internet Explorer) como Mozilla han retirado a DigiNotar del listado de autoridades de certificación de confianza.

El problema aparece con Mac OS X, ya que a raíz del problema anterior se ha descubierto un bug por el cual Mac OS X no es capaz de desconfiar de certificados emitidos por una Entidad revocada por el usuario. Esto significa que, hasta que se resuelva el problema, se recomienda a los usuarios que no se fíen de los sitios web firmados por DigiNotar cuando se navegue con Apple Safari…

Por otra parte, Apple también ha tenido este mismo problema con el iOS, ya que no chequeaba en las conexiones que la autoridad certificadora realmente tuviera autoridad para emitir los certificados que enviaba al terminal. Esto afecta tanto a iPad como a iPhone en las versiones anteriores al iOS 4.3.5

Así que si el iPhone (o la iPad) tiene una versión de SO anterior a la 4.3.5, cuidado…

Por cierto, el jailbraking más sencillo del iPhone se hace hasta la versión 4.3.3, con lo que el que quiera hacer jailbraking en su iPhone debe saber que va a tener este bonito agujero de seguridad en sus conexiones SSL…