Controversia con el potencial fallo de seguridad en SSL y TLS


Marsh Ray y Steve Dispensa dicen haber descubierto una vulnerabilidad en el protocolo SSL y TLS que podría permitir inyectar texto en una conversación cifrada si el atacante tiene acceso al tráfico. El fallo se encontraría en el protocolo en sí, y por tanto afectaría a prácticamente todas las implementaciones de todos los sistemas. Sin embargo otras voces indican que quizás el fallo no sea tan grave.





Es importante aclarar que el fallo no permite descifrar las comunicaciones. Al parecer es posible inyectar tráfico en texto plano como prefijo en una sesión TLS si el atacante es capaz de interceptar el tráfico. Dado que el cifrado TLS y SSL es usado por gran variedad de aplicaciones para cifrar todo tipo de tráfico (HTTP, FTP, POP3...), el impacto depende mucho del escenario donde nos movamos. Se han demostrado ataques prácticos contra autenticación basada en certificados usando servidores Apache y Microsoft IIS. Se podría reproducir la vulnerabilidad sin autenticación por certificado de cliente pero de esta forma resulta incluso más complejo.

Los dos investigadores piden una movilización de la industria para solucionar el fallo y para ello han trabajado con la ICASI (Industry Consortium for Advancement of Security on the Internet) desde agosto. Pensaban mantenerlo en secreto, hasta que un miembro de la Internet Engineering Task Force (IETF) ha descubierto esta semana independientemente el mismo fallo y lo ha hecho público.

Moxie Marlinspike, por otro lado, le resta importancia al error. Argumenta que inyectar tráfico realmente no revela nada al atacante. Marlinspike es el autor de la herramienta SSLStrip, que presentó en febrero de 2009 en la Black Hat. También afirma que para HTTP, el problema es menor aún. "No afecta al correo web, banca online o compras. Para otros protocolos, puede ser algo más que académico, pero todavía no hay propuestas de cómo podría ser".

El criptógrafo Karsten Nohl, sin embargo, dice que el problema es comparable en gravedad al fallo en DNS encontrado por Kaminsky. Cabría la posibilidad de inyectar comandos como texto plano y realmente acceder a información sensible durante la comunicación.

Marsh Ray y Steve Dispensa defienden que deben parchearse todos los productos que usen TLS y SSL, tanto clientes como servidores. Afirman que además debería incluirse la función de cortar una comunicación si en una de las partes no está solucionado el problema.

En cualquier caso, se le ha asignado el código CVE-2009-3555 a la vulnerabilidad. Grandes compañías como Sun ya han anunciado que están investigando el impacto que este descubrimiento podría tener en sus productos. OpenSSL ha sacado un parche previo para deshabilitar la renegociación que origina el problema.

Más Información:

Renegotiating TLS
http://extendedsubset.com/Renegotiating_TLS.pdf

Expert calls SSL protocol vulnerability a non issue
http://searchsecurity.techtarget.com/news/article/0,289142,sid14_gci1373678,00.html?track=sy160

(CVE-2009-3555) CVE-2009-3555 TLS: MITM attacks via session renegotiation
https://bugzilla.redhat.com/show_bug.cgi?id=533125

Fuente:
Sergio de los Santos
http://www.hispasec.com



Otras noticias de interés:

¿Qué nube es mejor la pública, la privada o la híbrida?
El crecimiento del mercado de cómputo en la nube genera discusión y análisis, paso de ser un rumor de negocio a una clara inversión, la cual cambió la naturaleza de entrega de las TI. De acuerdo con la firma de analistas IDC, el mercado de softw...
Lanzan disco duro de 200 Gb
Western Digital ha introducido un disco duro con una capacidad de almacenamiento de 200 Gb. ...
¿Cómo hacer frente al spyware?
Spyware es cualquier método informático que permite recolectar datos de individuos u organizaciones sin su conocimiento. Estos irritantes programas pueden, entre otras cosas, llenar de publicidad no deseada su navegador o buzón de correo y acumula...
Múltiples Vulnerabilidades en OpenSSL
El certificado de cliente OpenSSL posee vulnerabilidades múltiples que permiten posiblemente que alguien malicioso cause una negación del servicio (DoS) o tenga el acceso del sistema. El impacto de esta falla se cataloga de altamente crítico. ...
Boletines de seguridad de Microsoft Abril 2005
Microsoft ha realizado en abril de 2005, ocho boletines de seguridad, 5 de ellos catalogados como críticos, con actualizaciones que afectan a Microsoft Exchange Server, Microsoft Windows y Microsoft Internet Explorer, MSN Messenger y Microsoft Word....
Denegación de servicio en visor HTML de Internet Explorer
Según reporta Secunia, Michal Zalewski ha descubierto una debilidad en Internet Explorer, la cual podría ser explotada por personas maliciosas para provocar una denegación de servicio (DoS)....
Un falso correo electrónico alerta a los clientes de Hotmail del cierre de su cu
En las cuentas de correo de usuarios del servicio de correo gratuito Hotmail se están recibiendo mensajes dirigidos a hispanohablantes donde reza el siguiente texto: Su cuenta en Hotmail será cerrada a menos que usted confirme que es usua...
Banners Flash secuestran el portapapeles
¿Fanboy de Windows, Linux o Mac? ¿De Firefox, Explorer o Safari? Da igual; si has instalado el reproductor de Flash de Adobe cualquier anuncio malicioso puede apoderarse de tu portapapeles, anotando en él una dirección poco recomendable que te of...
Google Earth Beta 4 para Linux
Finalmente hoy lo prometido se hizo realidad y Google presentó la versión Beta 4 de su Google Earth también para Linux (!). A diferencia de Picasa para Linux, Google Earth Beta 4 no es una versión portada desde Windows con Wine, sino una versión...
Cómo se marcan las redes inalámbricas sin protección para Hacking
Una nueva moda se esta extendiendo en el mundo "underground", el acceso gratuito a Internet aprovechando las redes inalámbricas de empresas y domicilios. ¿Tienes en tu domicilio o empresa, una red inalámbrica Wifi y has...

Brindanos
un o una


Redes Sociales

Publicidad


Gana Bitcoins desde tu casa

Categorías


Planeta Vaslibre

Blog Roll




Nube de tags

  • anonimato
  • anonimo
  • antivirus
  • apache
  • blog
  • bsd
  • bug
  • centos
  • chrome
  • cifrado
  • computer
  • controversia
  • debian
  • exploits
  • fallo
  • fedora
  • fice
  • firefox
  • forense
  • freebsd
  • gentoo
  • github
  • gnome
  • gnu
  • gpl
  • gtk
  • hack
  • hacking
  • hosting
  • informatica
  • internet
  • isos
  • libre
  • licencias
  • linux
  • linuxmint
  • lxde
  • micros
  • mint
  • mit
  • mozilla
  • mysql
  • noticia
  • opensource
  • pgp
  • php
  • potencial
  • sabayon
  • seguridad
  • ssl
  • system
  • tecnologia
  • thunar
  • thunderbird
  • tls
  • tor
  • troyanos
  • tware
  • ubuntu
  • underground
  • vaslibre
  • virus
  • viserproject
  • vivaldi
  • vulnerabilidades
  • web
  • website
  • windows
  • xanadu
  • xfce
  • xombra