[Articulo] ¿transacciones seguras en internet? ¿es seguro el SSL?

gracias ;-)

¿TRANSACCIONES SEGURAS?: NO. Acerca del SSL
-

La mayoria de las "teoricas" transacciones seguras de

comercio electronico en internet se realizan mediante SSL.
El famoso xandadito amarillo que podemos ver en ciertas
paginas en nuestro navegador. Está basado en el calsico
cifrado de clave pública que puede parecen "intimidatorio"
para un hacker novato. Se puede encontrar una descripcion
del funcionamiento en:
http://wp.netscape.com/security/tec...s/ssl.html

Recordemos, que SSL es una especificacion de seguridad, y

como tal, se enceuntra sujeta a interpretaciones por
aquellos que desarrollan productos de software. Si se
cometen errores, la seguridad de la especificacion queda
reducida a cero. Más adelante veremos un ejemplo de un
defecto de implementacion.

Actualmente el protocolo de cifrado mas potente

disponible es de 128 bits y está implementado en todas las
versiones de los actuales navegadores. Hasta hace uno
años, esto no era posible debido a que las leyes de
esportacion de los EEUU consideraban a las claves de
cifrado mayures de 40 bits, como "material de guerra".

Veamos el tema anterior, con respecto a la violacion de

un certificado SSL de un sitio web legitimo. EN teoria,
esta violación sería invalidada gracias a una verificacion
cruzada de la identidad del certificado con el nombre DNS
y direccion IP del servidor que se encuentra al otro
extremo de la conexion. Esta es la teoria de la
especificacion SSL.

Sin embargo, el ACROSS Security Team de Eslovenia

descubrió por ejemplo, un defecto en la implementacion en
las antiguas versiones de Netscape anteriores a la 4.73:
en estas versiones cuando se establece una sesion SSL el
navegador solo comparaba la direccion IP y no el nombre
DNS de un certificado contra las sesiones SSL existentes.
Por tanto, engañanado al explorador para que abra una
sesion SSL en un servidor web malintencionado que se
hagapasar por otro servidor legitimo todas las sesiones
SSL posteriores que se establezcan con el servidor web
legitimo terminarian finalmente en el servidor
malintecionado sin que el usuario recibira ninguno de los
mensajes de aviso normales.

Lo anterior, que parece un poco "liado" se puede obtener

una explicacion detallada en
http://www.cert.org/advisories/CA-2000-05.html

Merece la pena entender las implicaciones relacionadas

con esta "primera" vulnerabilidad descubierta a la
implementacion del protocolo SSL. Demasiada gente cree que
una vez que el icono del candado SSL aparece en su
explorador los problemas de seguridad ya han desaparecido.
ACROSS demostró que esto nunca podrás ser así mientras el
ser humando intervenga en el desarrollo del software.

Una vulnerabilidad similar fue descubierta en el IE,

salvo que el problema del Internet Explorer era que solo
realizaba la comprobacion de si el certificado había sido
emitido por una autoridad de certificación válida sin
molestarse tambien en verificar el nombre del servidor y
la fecha de caducidad.

Estas verificaciones solo se llevan a cabo cuando la

conexion SSL realizada con el servidor SSL se efectua a
través de un marco o de una imagen lo cual es una forma
bastante poco eficaz de configurar sesiones SSL nada
inteligentes que los usuarios pueden no advertir. IE
tambien fracasaba a la hora de volver a validar el
certificado si se establecía una nueva sesion SSL con el
mismo servidor durante la misma sesion IE.

Las unicas alternativas que nos quedan es tener siempre

al dia las ultimas versiones del navegador. Los
fabricantes, de acuerdo con la industria del comercio
electronico, priman sobre todo la resolucion de posibles
problemas de seguridad debido a la implementacion del
estandar SSL.

Jose Manuel Tella Llop
MVP - Windows
(quitar XXX)
http://www.multingles.net/jmt.htm

Este mensaje se proporciona "como está" sin garantías de

ninguna clase, y no otorga ningún derecho.

This posting is provided "AS IS" with no warranties, and

confers no rights.

You assume all risk for your use.




.

JM Tella Llop [MVP Windows] wrote:

¿TRANSACCIONES SEGURAS?: NO. Acerca del SSL

Gracias.

Un saludo,
Daniel Martín
E-Mail:

JM Tella Llop [MVP Windows] wrote:

¿TRANSACCIONES SEGURAS?: NO. Acerca del SSL

Gracias.

Un saludo,
Daniel Martín
E-Mail:

Segun esto las transacciones con Banca, estan compromitidas, o no???

Saludos. Völkl.

La inteligencia consiste no sólo en el conocimiento, sino también en la
destreza de aplicar los conocimientos en la práctica.

Para contestarme o enviarme un e- mail sustituye la información de para o
replay, por wolkl arroba hotmail punto com
"JM Tella Llop [MVP Windows]" ha escrit en el missatge
dels grups de discussió:
¿TRANSACCIONES SEGURAS?: NO. Acerca del SSL
-

La mayoria de las "teoricas" transacciones seguras de comercio electronico
en internet se realizan mediante SSL. El famoso xandadito amarillo que
podemos ver en ciertas paginas en nuestro navegador. Está basado en el
calsico cifrado de clave pública que puede parecen "intimidatorio" para un
hacker novato. Se puede encontrar una descripcion del funcionamiento en:
http://wp.netscape.com/security/tec...s/ssl.html

Recordemos, que SSL es una especificacion de seguridad, y como tal, se
enceuntra sujeta a interpretaciones por aquellos que desarrollan productos
de software. Si se cometen errores, la seguridad de la especificacion queda
reducida a cero. Más adelante veremos un ejemplo de un defecto de
implementacion.

Actualmente el protocolo de cifrado mas potente disponible es de 128 bits y
está implementado en todas las versiones de los actuales navegadores. Hasta
hace uno años, esto no era posible debido a que las leyes de esportacion de
los EEUU consideraban a las claves de cifrado mayures de 40 bits, como
"material de guerra".

Veamos el tema anterior, con respecto a la violacion de un certificado SSL
de un sitio web legitimo. EN teoria, esta violación sería invalidada gracias
a una verificacion cruzada de la identidad del certificado con el nombre DNS
y direccion IP del servidor que se encuentra al otro extremo de la conexion.
Esta es la teoria de la especificacion SSL.

Sin embargo, el ACROSS Security Team de Eslovenia descubrió por ejemplo, un
defecto en la implementacion en las antiguas versiones de Netscape
anteriores a la 4.73: en estas versiones cuando se establece una sesion SSL
el navegador solo comparaba la direccion IP y no el nombre DNS de un
certificado contra las sesiones SSL existentes. Por tanto, engañanado al
explorador para que abra una sesion SSL en un servidor web malintencionado
que se hagapasar por otro servidor legitimo todas las sesiones SSL
posteriores que se establezcan con el servidor web legitimo terminarian
finalmente en el servidor malintecionado sin que el usuario recibira ninguno
de los mensajes de aviso normales.

Lo anterior, que parece un poco "liado" se puede obtener una explicacion
detallada en http://www.cert.org/advisories/CA-2000-05.html

Merece la pena entender las implicaciones relacionadas con esta "primera"
vulnerabilidad descubierta a la implementacion del protocolo SSL. Demasiada
gente cree que una vez que el icono del candado SSL aparece en su explorador
los problemas de seguridad ya han desaparecido. ACROSS demostró que esto
nunca podrás ser así mientras el ser humando intervenga en el desarrollo del
software.

Una vulnerabilidad similar fue descubierta en el IE, salvo que el problema
del Internet Explorer era que solo realizaba la comprobacion de si el
certificado había sido emitido por una autoridad de certificación válida sin
molestarse tambien en verificar el nombre del servidor y la fecha de
caducidad.

Estas verificaciones solo se llevan a cabo cuando la conexion SSL realizada
con el servidor SSL se efectua a través de un marco o de una imagen lo cual
es una forma bastante poco eficaz de configurar sesiones SSL nada
inteligentes que los usuarios pueden no advertir. IE tambien fracasaba a la
hora de volver a validar el certificado si se establecía una nueva sesion
SSL con el mismo servidor durante la misma sesion IE.

Las unicas alternativas que nos quedan es tener siempre al dia las ultimas
versiones del navegador. Los fabricantes, de acuerdo con la industria del
comercio electronico, priman sobre todo la resolucion de posibles problemas
de seguridad debido a la implementacion del estandar SSL.



Jose Manuel Tella Llop
MVP - Windows
(quitar XXX)
http://www.multingles.net/jmt.htm

Este mensaje se proporciona "como está" sin garantías de ninguna clase, y no
otorga ningún derecho.

This posting is provided "AS IS" with no warranties, and confers no rights.
You assume all risk for your use.

Segun esto las transacciones con Banca, estan compromitidas, o no???

Saludos. Völkl.

La inteligencia consiste no sólo en el conocimiento, sino también en la
destreza de aplicar los conocimientos en la práctica.

Para contestarme o enviarme un e- mail sustituye la información de para o
replay, por wolkl arroba hotmail punto com
"JM Tella Llop [MVP Windows]" ha escrit en el missatge
dels grups de discussió:
¿TRANSACCIONES SEGURAS?: NO. Acerca del SSL
-

La mayoria de las "teoricas" transacciones seguras de comercio electronico
en internet se realizan mediante SSL. El famoso xandadito amarillo que
podemos ver en ciertas paginas en nuestro navegador. Está basado en el
calsico cifrado de clave pública que puede parecen "intimidatorio" para un
hacker novato. Se puede encontrar una descripcion del funcionamiento en:
http://wp.netscape.com/security/tec...s/ssl.html

Recordemos, que SSL es una especificacion de seguridad, y como tal, se
enceuntra sujeta a interpretaciones por aquellos que desarrollan productos
de software. Si se cometen errores, la seguridad de la especificacion queda
reducida a cero. Más adelante veremos un ejemplo de un defecto de
implementacion.

Actualmente el protocolo de cifrado mas potente disponible es de 128 bits y
está implementado en todas las versiones de los actuales navegadores. Hasta
hace uno años, esto no era posible debido a que las leyes de esportacion de
los EEUU consideraban a las claves de cifrado mayures de 40 bits, como
"material de guerra".

Veamos el tema anterior, con respecto a la violacion de un certificado SSL
de un sitio web legitimo. EN teoria, esta violación sería invalidada gracias
a una verificacion cruzada de la identidad del certificado con el nombre DNS
y direccion IP del servidor que se encuentra al otro extremo de la conexion.
Esta es la teoria de la especificacion SSL.

Sin embargo, el ACROSS Security Team de Eslovenia descubrió por ejemplo, un
defecto en la implementacion en las antiguas versiones de Netscape
anteriores a la 4.73: en estas versiones cuando se establece una sesion SSL
el navegador solo comparaba la direccion IP y no el nombre DNS de un
certificado contra las sesiones SSL existentes. Por tanto, engañanado al
explorador para que abra una sesion SSL en un servidor web malintencionado
que se hagapasar por otro servidor legitimo todas las sesiones SSL
posteriores que se establezcan con el servidor web legitimo terminarian
finalmente en el servidor malintecionado sin que el usuario recibira ninguno
de los mensajes de aviso normales.

Lo anterior, que parece un poco "liado" se puede obtener una explicacion
detallada en http://www.cert.org/advisories/CA-2000-05.html

Merece la pena entender las implicaciones relacionadas con esta "primera"
vulnerabilidad descubierta a la implementacion del protocolo SSL. Demasiada
gente cree que una vez que el icono del candado SSL aparece en su explorador
los problemas de seguridad ya han desaparecido. ACROSS demostró que esto
nunca podrás ser así mientras el ser humando intervenga en el desarrollo del
software.

Una vulnerabilidad similar fue descubierta en el IE, salvo que el problema
del Internet Explorer era que solo realizaba la comprobacion de si el
certificado había sido emitido por una autoridad de certificación válida sin
molestarse tambien en verificar el nombre del servidor y la fecha de
caducidad.

Estas verificaciones solo se llevan a cabo cuando la conexion SSL realizada
con el servidor SSL se efectua a través de un marco o de una imagen lo cual
es una forma bastante poco eficaz de configurar sesiones SSL nada
inteligentes que los usuarios pueden no advertir. IE tambien fracasaba a la
hora de volver a validar el certificado si se establecía una nueva sesion
SSL con el mismo servidor durante la misma sesion IE.

Las unicas alternativas que nos quedan es tener siempre al dia las ultimas
versiones del navegador. Los fabricantes, de acuerdo con la industria del
comercio electronico, priman sobre todo la resolucion de posibles problemas
de seguridad debido a la implementacion del estandar SSL.



Jose Manuel Tella Llop
MVP - Windows
(quitar XXX)
http://www.multingles.net/jmt.htm

Este mensaje se proporciona "como está" sin garantías de ninguna clase, y no
otorga ningún derecho.

This posting is provided "AS IS" with no warranties, and confers no rights.
You assume all risk for your use.