Secciones
Foros Electrónica
Electrónica Fácil en Twitter
siguenos en twitter
Boletines de correo
Boletines
Sitios recomendados
Una nueva vulnerabilidad en la seguridad de Internet
 
 


Investigadores del CWI y la Universidad Técnica de Eindhoven de los Países Bajos, de la EPFL en Suiza, e investigadores de seguridad independientes en California, han descubierto una vulnerabilidad en la infraestructura de certificados digitales de internet que permite a los atacantes falsificar certificados que son completamente aceptados por todos los navegadores web comúnmente utilizados. Como resultado de esta vulnerabilidad es posible para las máquinas de los atacantes hacerse pasar por servidores de correo y sitios web seguros y realizar ataques de tipo phishing virtualmente indetectables, lo que implica que visitar sitios web seguros no es tan seguro como debería ser y se cree que es.


(NC&T) Con la presentación de sus resultados, los expertos esperan incrementar la adopción de estándares de criptografía más seguros en internet y de ese modo aumentar la seguridad.

    Cuando usted visita un sitio web cuya URL comienza con "https", aparece un pequeño icono en forma de candado en la ventana del navegador. Esto indica que el sitio web está asegurado utilizando un certificado digital emitido por una de las pocas Autoridades Certificadoras fiables. Para confirmar que el certificado digital es legítimo, el navegador verifica su firma utilizando algoritmos estándar de criptografía. El equipo de investigadores ha descubierto que uno de estos algoritmos, conocido como MD5, puede ser utilizado indebidamente.

    En el congreso anual de criptografía "Crypto" de 2004 un equipo de investigadores chinos presentó el primer punto débil significativo en el algoritmo MD5. Ellos fueron capaces de crear dos mensajes diferentes con la misma firma digital. Aunque esta construcción inicial estaba severamente limitada, en Mayo de 2007 unos investigadores del CWI, la EPFL y la Universidad Técnica de Eindhoven anunciaron una construcción mucho más fuerte. Su método mostró que era posible tener libertad casi completa en la elección de ambos mensajes.

    El equipo de investigadores ahora ha descubierto que es posible crear una autoridad certificadora fraudulenta que engañe a todos los principales programas de navegación web, mediante el uso de una implementación avanzada de la construcción descrita, y un conjunto de más de 200 videoconsolas de modelos disponibles comercialmente.

    El equipo de investigadores consiguió así demostrar que una parte crítica de la infraestructura de internet no es segura. Una autoridad certificadora fraudulenta, en combinación con vulnerabilidades conocidas en el protocolo DNS, puede abrir las puertas para ataques de tipo phishing virtualmente indetectables. Por ejemplo, sin percatarse de ello, los usuarios podrían ser redireccionados hacia sitios maliciosos que presenten un aspecto idéntico al de páginas web bancarias o de comercio electrónico conocidas y fiables que crean estar visitando. El navegador web podría entonces recibir un certificado falso que sería erróneamente aceptado, y las contraseñas y otros datos privados de los usuarios podrían caer en malas manos.

    Según los investigadores, su descubrimiento muestra que el MD5 no puede seguir siendo considerado un algoritmo de criptografía seguro para su uso en firmas y certificados digitales.

-ENLACES A INFORMACION SUPLEMENTARIA EN INTERNET:
http://www.scitech-news.com/ssn/index.php?option=com_content&view=article&id=850:experts-uncover-weakness-in-internet-security&catid=42:computing&Itemid=62


Publica esta página en...

Enviar a Facebook  
  


Publicada el 08 de Mar de 2009 - 05:27 AM   

Esta noticia la han leido 1713 lectores

powered by phppowered by MySQLPOWERED BY APACHEPOWERED BY CentOS© 2004 F.J.M.Información LegalPrensa
Esta web utiliza cookies, puedes ver nuestra política de cookies, aquí Si continuas navegando estás aceptándola
Política de cookies +