1. Forum
  2. Fidonet
  3. ESP.SEGURIDAD

  • =?iso-8859-1?q?una-al-dia_=2803/06/2008=29_Mitos_y_leyendas=3A_=22Compr

    From noticias@hispasec.com@2:341/201.99 to All on Wed Jun 4 03:10:00 2008
    ----------------------------SPOT--------------------------
    SERVICIOS ANTIPHISHING y ANTITROYANOS DE HISPASEC SISTEMAS

    Hispasec Sistemas ofrece sus servicios antifraude, antiphishing y
    antitroyanos, dirigidos a entidades bancarias y sitios de comercio
    electrónico.

    Más información en:
    http://www.hispasec.com/corporate/antiphishing.html

    info@hispasec.com Telf. 902 161 025 ----------------------------SPOT--------------------------

    -----BEGIN PGP SIGNED MESSAGE-----
    Hash: SHA1

    -------------------------------------------------------------------
    Hispasec - una-al-día 03/06/2008
    Todos los días una noticia de seguridad www.hispasec.com
    -------------------------------------------------------------------

    Mitos y leyendas: "Compruebe el candadito del navegador para estar
    seguro" I (Phishing)
    ------------------------------------------------------------------

    Esta frase es una de las recomendaciones de seguridad básicas que todo
    sistema de banca online ofrece a sus usuarios. Ha sido uno de los
    consejos estrella para intentar evitar el phishing en los últimos años.
    En realidad, SSL podría ser un arma poderosa contra le phishing pero no
    ha sido así. En parte porque no se entiende la tecnología, en parte
    porque se ha vuelto tan popular y barata que ha dejado de tener el
    efecto deseado. El SSL y "el candadito del navegador" simplemente ya no significan nada. Tanto, que se ha tenido que crear un nuevo concepto de certificado. Un consejo obsoleto que ofrece una falsa sensación de
    seguridad de la que se están aprovechando los phishers.

    ¿Para qué sirve el SSL?

    Incluso entre los profesionales de la informática existe cierta
    confusión al entender el SSL y qué significa que se navegue bajo el
    protocolo HTTPS. Se sabe que es un "canal seguro", pero ¿seguro por qué?
    Sin entrar en tecnicismos, hay que decir que SSL debería cumplir dos
    funciones. Primero es una conexión cifrada sobre un canal público. Cifra
    la conexión de forma que en teoría sólo el servidor y el navegador
    pueden acceder al flujo de datos entre ellos. Lo que olvidan muchos es
    que SSL también autentica al servidor. Nos ayuda a estar seguros de que
    el servidor es quien dice ser y también que pertenece a la empresa a la
    que debería pertenecer. Esto lo hace gracias a la criptografía de clave pública, que garantiza que el servidor al que nos conectamos tiene la
    clave privada que corresponde con la pública que dice tener.

    Para la parte de autenticación, los servidores con SSL activo ofrecen al navegador un certificado para que lo compruebe, que es como una especie
    de DNI. En él, una autoridad (Verisign, Godaddy....) certifica con su
    firma que la clave pública realmente pertenece al sitio. Para conseguir
    un certificado, el dueño del servidor ha generado dos claves, y la
    pública la ha enviado a estas autoridades certificadoras para que la
    firmen, junto con otras pruebas de identidad como pueden ser documentos
    de empresa u otros, dependiendo del criterio del certificador (y de lo
    que se quiera pagar). Cuando un usuario se conecta a la página, de forma transparente el navegador comprueba que el certificado es correcto.
    Siguiendo con la analogía del DNI, sólo el Estado (las autoridades certificadoras) puede certificar (firmar critográficamente) que la
    fotografía y los datos (la clave pública) pertenecen a una persona
    (servidor web de esa empresa).

    ¿Es efectivo contra el phishing?

    Idealmente, autenticar al servidor es la solución contra el phishing,
    pero no es así. El usuario medio a veces comprueba que hay un candadito,
    o una conexión HTTPS al visitar una web. Con esta mínima comprobación, comprende que está sobre un sitio seguro (se le ha repetido hasta la
    saciedad) y confía en la página en la que va a introducir sus datos. Muy
    pocos confirman que el certificado es válido. Para ello abría que hacer
    doble click sobre el candado y comprobar la ruta de certificación, que
    debe culminar en una autoridad certificadora que ha firmado el
    certificado. Pero, hoy en día, incluso si el certificado es válido, es
    posible que no se esté sobre la página que se desea. Para evitar esto,
    el usuario debería interpretar además qué información está ofreciendo
    esa cadena de certificación y a qué datos está asociado. El conjunto de usuarios que llega a este punto es mínimo.

    Lo que los phishers están haciendo cada vez con más frecuencia, es
    comprar certificados que sólo certifican que el dominio pertenece a
    quien lo compró. La autoridad certificadora no pide más documentos ni
    pruebas, sólo que el dominio te pertenece. Los hay por 20 euros.
    Empresas como Godaddy certifican que el dominio te pertenece, y con ello
    el navegador aparecerá con el candadito y bajo el protocolo HTTPS. Efectivamente, la información irá sobre un canal seguro, y el servidor
    será el del auténtico phisher, que ha podido comprar un dominio con un
    nombre parecido al legítimo, o añadir en la URL dominios de tercer nivel
    para confundir.

    Existen certificados de hasta 300 euros al año, y estas autoridades
    certifican el dominio, los datos... es un proceso caro y costoso que se
    paga. Pero como se ha dicho también los hay "light" en los que toda la
    gestión se hace online y con una mínima comprobación. Esto es legítimo y válido, pero llevado al contexto del phishing, resulta ventajoso para
    los atacantes. Los phishers pagan 20 euros (con tarjetas que a su vez
    han robado) y tendrán un candadito y una conexión HTTPS en su phishing.
    El nivel de credibilidad aumenta con respecto a sus víctimas.

    El SSL se ha convertido en algo tan popular y accesible que ya no es
    exclusivo de los sitios seguros, y lo que con tanto esfuerzo se ha
    conseguido inculcar en el subconsciente del usuario: "si tiene
    candadito, es seguro", se ha vuelto en contra. Por tanto, los phishings
    bajo conexión segura siguen aumentando con éxito.

    Extended Validation Certificates al rescate

    Los nuevos EVCerts, Extended Validation Certificates, han venido al
    rescate, supliendo las deficiencias de los certificados baratos y
    comunes. Para empezar certificarse es bastante más caro. Esto resulta en
    una primera criba que puede resultar incómoda para empresas pequeñas. Técnicamente los certificados que cumplan el Extended Validation SSL
    autentican al servidor (como los certificados tradicionales), pero a
    efectos prácticos permiten que el navegador que visita la página que
    tiene estos certificados, muestre de forma mucho más clara que la página
    es efectivamente la que se quiere visitar, haciendo hincapié en la
    vertiente de autenticación del SSL. Sería como si el navegador hiciera
    por nosotros la operación de pulsar sobre el candado cuando nos
    conectamos por SSL a una página, y verificara la ruta de certificación,
    el domino válido... todo de forma automática y visual. Si el servidor es seguro, se muestra en la barra de direcciones un color verde. Un usuario
    puede así de un solo vistazo dar por seguro que el servidor al que se
    está conectando es el correcto, y que no se está usando un certificado
    válido, pero falso.

    Por ahora, sólo Internet Explorer 7 soporta de serie la correcta
    interpretación de certificados EV SSL (para que funcione la comprobación
    de estos certificados, debe estar activada la tecnología antiphishing,
    van de la mano y hay que usarlas juntas). Para que Firefox 2 lo soporte necesita un plugin y Opera ya lo implementa en su versión 9.50.

    Opina sobre esta noticia:
    http://www.hispasec.com/unaaldia/3510/comentar


    Sergio de los Santos
    ssantos@hispasec.com


    Tal día como hoy:
    -----------------

    03/06/2007: Revelación de credenciales de usuario en Novell GroupWise
    http://www.hispasec.com/unaaldia/3144

    03/06/2006: Inyección SQL remota en MySQL 4 y 5
    http://www.hispasec.com/unaaldia/2779

    03/06/2005: Secuestro de sesiones en Windows Terminal Services
    http://www.hispasec.com/unaaldia/2414

    03/06/2004: Actualización de seguridad para RSYNC
    http://www.hispasec.com/unaaldia/2048

    03/06/2003: Nuevo resumen trimestral del CERT
    http://www.hispasec.com/unaaldia/1682

    03/06/2002: Nuevo resumen trimestral del CERT
    http://www.hispasec.com/unaaldia/1317

    03/06/2001: La UE aconseja cifrar el correo electrónico
    http://www.hispasec.com/unaaldia/952

    03/06/2000: Vulnerabilidad a través de la ayuda
    http://www.hispasec.com/unaaldia/585

    03/06/1999: Absuelto el principal acusado del "Caso Hispahack"
    http://www.hispasec.com/unaaldia/219


    -------------------------------------------------------------------
    Claves PGP en http://www.hispasec.com/directorio/hispasec
    -------------------------------------------------------------------
    Bajas: mailto:unaaldia-request@hispasec.com?subject=unsubscribe
    Altas: mailto:unaaldia-request@hispasec.com?subject=subscribe
    -------------------------------------------------------------------
    (c) 2008 Hispasec http://www.hispasec.com/copyright
    -------------------------------------------------------------------

    --- SoupGate-DOS v1.05
    * Origin: Pasarela FTN-INet telnet://pucelabbs.dyndns.org:4000 (2:341/201.99)