Cuidado cuando accedas a Facebook en una cafetería, consultes tu correo de Gmail en un centro comercial, o se te ocurra comprar un libro en Amazon en el aeropuerto. Ya no es seguro.
SSL ha sido crackeado. Uno de los códigos de seguridad hasta ahora considerados inviolable ha sido vulnerado dos expertos informáticos: Thai Duong y Juliano Rizzo. Estos ‘hackers’ han logrado quebrantar el código de seguridad que usa Gmail, Facebook, Amazon y Paypal, para proteger el acceso a los datos de sus usuarios.
Pero, ¿Qué significa esta noticia que pone nuevamente en tela de juicio la seguridad informática? Los dos informáticos contarán su hazaña en la Erkoparty, feria dedicada a la seguridad informática que se desarrollará en Buenos Aires. Pero antes prnoticias ha hablado con Rizzo para conocer todos los detalles. Ramón Pinagua, Auditor de S21sec y experto en seguridad informática, también nos da su versión de este crackeo.
JULIANO RIZZO, Hacker.
‘Los navegadores deberán ser actualizados para proteger sus datos’
¿Hasta qué punto la acción que habéis realizado compromete verdaderamente la seguridad de sitios como Amazon, Facebook o Paypal?
Es un nuevo ataque a SSL, el escenario donde se usaría es en un café, aeropuerto cuando usas wifi, si tu proveedor es maligno, etc. Es un ataque al usuario (N del E: para coger sus datos de acceso a las páginas), al navegador, no a los servidores.
¿Corren peligros los datos de sus usuarios?
Ya existen herramientas para llevar ataques que te darían estos mismos resultados, pero también existen formas de evitarlos parte de los servidores y usuarios. Lo que cambia con BEAST es que hay una forma nueva, no explorada previamente y para la que nadie estaba preparado. Los navegadores deberán ser actualizados para proteger a los usuarios de esto.
Vuestra ruptura se debe a la versión 1.0 que es la que usan casi todos los buscadores. ¿Adaptando los buscadores a versiones 1.1 o 1.2 se solucionaría el problema?
Sí, la versión 1.1 soluciona el problema pero todavía no está difundida. No es tan fácil que hay que actualizar todos los navegadores y servidores web antes de poder realmente dejar de usar la versión 1.0. Llevará unos años la migración total pero tal vez los sitios más tantes lo harán pronto. La presentación de nuestro ataque claramente acelerará esto.
RAMÓN PINAGUA, Auditor S21sec.
‘No todos los usuarios serían igualmente vulnerables’
¿Puede la seguridad de estas empresas quedar comprometida esta acción?
La seguridad de las propias empresas no, pero si podría comprometer la seguridad de algunos usuarios en situaciones concretas, siempre y cuando no se corrija el fallo.
No todos los usuarios serían igualmente vulnerables. Los más expuestos serían los que estuviesen navegando en las redes más desprotegidas, como ejemplo: las redes de cafeterías, hoteles, redes inalámbricas, etc. En estos últos casos la principal protección con la que cuentan para la realización de gestiones de información sensible y susceptible al fraude es que su navegador utilice SSL.
¿Hasta qué punto el alcance de esta noticia puede poner en riesgo la seguridad de los datos de los clientes de confirmarse la ruptura del código?
Para poneros un poco en situación, SSL es el mecanismo que cifra nuestras conexiones a páginas seguras (las que muestran el famoso candado en el navegador y aparecen en la barra de navegación como HTTPS, es decir HTTPseguro).
SSL ha ido evolucionando y mejorando con el paso del tiempo y ha contado con varias versiones: SSL versión 1, SSL versión 2 y TLS versión 1 (que es la afectada en este caso concreto que tratamos), etc. TLS 1 es, además, la versión más recomendada actualmente, de ahí la relevancia publicación de esta noticia.
Pero es tante destacar que aunque TLS 1 haya sufrido un fallo de seguridad, esto no es algo excepcional. Ha sucedido en anteriores ocasiones con SSL 1 y SSL 2, lo que, en su momento, se fue innovando y mejorando el sistema hasta llegar a TLS 1. En este caso pasará algo silar, habrá que ir actualizando los navegadores y los servidores para utilizar una versión de SSL más segura. Todos los meses aparecen fallos de seguridad en el software que utilizamos y que nos obligan a instalar actualizaciones constantemente. La velocidad con la que evoluciona el entorno online y los métodos de ataque es tan rápida que es prácticamente posible detenerse un momento a reflexionar. La continua innovación y actualización es prescindible para poder movernos en un entorno seguro.
Como es lógico, existirá un periodo de tiempo durante el que la gente que aún no haya actualizado su software será vulnerable. Durante este periodo de tiempo habrá que tener más cuidado y usar medidas de protección adicionales (usar sólo redes de confianza, cambiar contraseñas, usar un antivirus, etc.), de ahí la tancia de mantener siempre nuestro software lo más actualizado posible
Seguiremos informando…
