miércoles, 21 de mayo de 2008

OpenSSL ya no es tan seguro...

Generalmente las direcciones de páginas Web que utilizan conexiones SSL, comienzan con ‘https:’ en lugar del estándar ‘http:’. Cuando visitamos un sitio protegido por SSL, un pequeño candado suele ser mostrado en la parte inferior del navegador.

Investigadores suizos, han demostrado sin embargo, que es posible descubrir en menos de una hora la contraseña utilizada por cualquier visitante al conectarse a un sitio Web de venta comercial o cuenta de correo electrónico.

Esta vulnerabilidad en el software OpenSSL, podría haber permanecido mucho tiempo sin ser descubierta. Sin embargo, una vez conocida, es muy fácil implementar algún exploit que se aproveche de ella.

"Somos los primeros en haber descubierto esta vulnerabilidad en el protocolo SSL, el procedimiento de seguridad utilizado más habitualmente para las transacciones a través de Internet", afirmó en un comunicado el director del laboratorio de seguridad y criptografía de la Escuela Politécnica Federal de Lausana (EPFL), Serge Vaudenay.

El OpenSSL group, ya tiene disponible una nueva versión del software (la 0.9.7a), la cuál soluciona esta falla.

"Concretamente hemos desarrollado un programa que nos permite interceptar la contraseña de una persona utilizando un programa de comunicación segura por SSL", explicó Vaudenay. Los científicos se conectaron al programa haciéndose pasar por el usuario. Así, pueden leer los correos electrónicos o realizar transacciones financieras en su nombre.

Sin embargo, también aclaran que esta falla no se aplica a transacciones con tarjetas de crédito, ya que los bancos y sitios que manejan comercio electrónico, suelen utilizar un tipo diferente de tecnología basada en protocolos SSL, afirman los investigadores que descubrieron la falla.

Se utilizan varios tipos de algoritmos en la tecnología SSL para manejar información codificada. El tipo de protocolo vulnerable, es el utilizado generalmente en opciones de Webmail (correo electrónico vía Web, al estilo de Hotmail por ejemplo).

La solución pasa por la actualización a la versión OpenSSL 0.9.7a.