Forum: HispaMSX BBS

=?iso-8859-1?q?una-al-dia_=2831/12/2008=29_Investigadores_consiguen_hac

From noticias@hispasec.com@2:341/201.99 to All on Wed Dec 31 12:40:12 2008

---------------------------FELICITACION-------------------------

El equipo de Hispasec Sistemas desea a todos los lectores
de una-al-d�a un feliz y pr�spero a�o 2009

Hispasec Sistemas
http://www.hispasec.com

---------------------------FELICITACION-------------------------

-----BEGIN PGP SIGNED MESSAGE-----
Hash: SHA1

-------------------------------------------------------------------
Hispasec - una-al-d�a 31/12/2008
Todos los d�as una noticia de seguridad www.hispasec.com
-------------------------------------------------------------------

Investigadores consiguen hacer que cualquier certificado SSL parezca v�lido
---------------------------------------------------------------------------

Antes de que termine este a�o de cat�strofes en la Red, un grupo
de investigadores consiguen asestar otro golpe a una de las
infraestructuras de Internet en la que se conf�a: la PKI
(infraestructura de claves p�blicas). Aunque el impacto real ser�
m�nimo, se ha conseguido demostrar emp�ricamente que es posible
falsificar cualquier certificado SSL y por tanto, que los navegadores
den como v�lidos certificados falsos que har�an aparecer p�ginas
fraudulentas como leg�timas.

Esta es una de esas noticias que se presta a cierta exageraci�n en los
medios, al igual que pas� con la supuesta ruptura del WPA con TKIP o con
el ataque sockstress, ambas de solo hace unas semanas. En realidad solo
se ha demostrado algo que se supon�a te�rico (que no es poco). El SSL
no est� roto, el problema real reside en c�mo lo utilizan algunas
autoridades certificadoras "anticuadas", o sea, en un modelo de PKI
concreto. Por �ltimo, destacar que el hecho de que los investigadores
hayan usado la potencia de 200 consolas PlayStation3 para conseguir su objetivo, es irrelevante, solo desv�a la atenci�n del problema aunque
a�ada cierto "glamour".

En realidad, las ra�ces reales del problema son dos: las conocidas
colisiones del algoritmo MD5, y que ciertas autoridades certificadores
todav�a lo usen. Vamos a realizar una peque�a introducci�n sobre los certificados y luego explicar c�mo lo han conseguido exactamente y las consecuencias.

SSL y los certificados

SSL es un protocolo que sirve para cifrar las comunicaciones punto a
punto, por ejemplo entre un navegador y un servidor web o una conexi�n
SSH. En una conexi�n SSH no es necesario autenticar al servidor remoto habitualmente, pero s� cuando un usuario se conecta a una p�gina web.
�Estoy realmente en la web de mi banco? Para eso se inventaron los certificados, que son una especie de "documentos de identidad", DNI, del servidor. Ah� aparecen (respetando el est�ndar X.509) datos como el
nombre de dominio para el que est� emitido, fechas de validez, clave
p�blica del sitio y sobre todo, qu� autoridad le da validez a ese
certificado. Si en el caso de los carn�s de identidad la validez la
certifica el Estado, en Internet existen un buen n�mero de autoridades certificadores (CA) que validan esa informaci�n. Cuando se crea una
clave p�blica que va a servir para certificar un sitio web, el due�o del
sitio debe enviar esa clave junto con sus datos a una autoridad para que
todo junto se convierta en un certificado y se garantice que pertenece a
esa persona o entidad.

Los certificados y "las firmas"

Las CA calculan el hash (una especie de firma-resumen) de todo el
certificado (recordemos: nombre de dominio, fechas, clave p�blica...), y
este valor se a�ade al propio certificado. Ser�a como su n�mero personal
e intransferible que lo incluye todo. Si se altera alg�n valor, este
dato cambia por completo. Luego adem�s "firman" este hash (y solo el
hash) con su propia clave privada, de forma que ahora el certificado,
tiene un "n�mero de identificaci�n", firmado por alguien de confianza y supuestamente �nico, adem�s asociado de forma indivisible a sus datos.
Este paso ser�a como "lacrar" el certificado en un sitio oficial. Como
veremos, aqu� es donde las CA cometen el error t�cnico.

Como existen muchas CA, los navegadores por defecto traen ya por defecto
una lista de certificados ra�z que sirven para comprobar de forma
autom�tica que la ruta de validez del certificado es v�lida, o sea, que
est� firmado por alguien en quien se conf�a y la firma es v�lida.

Si existe alg�n fallo durante esta comprobaci�n autom�tica, si por
ejemplo se crea un certificado que dice ser de un sitio pero no lo es y
no est� validado, el hash no casar� y el navegador se quejar� mostrando
una alerta. Confiamos en los hashes firmados porque se supone que es muy complejo que dos hashes coincidan si son creados a partir de datos
diferentes, esto es, que colisionen.

"Las firmas" y el MD5

Cuando hablamos de hash o firma criptogr�fica, todav�a se acude al MD5
como referente, aunque est� obsoleto y desaconsejado. Muchas CA han
usado y est�n usando MD5 para calcular el hash del certificado y firmar
esto con su clave privada. Otras muchas autoridades, la mayor�a, est�n
ya vali�ndose de SHA1, un algoritmo de hash mucho m�s robusto y al que
todav�a no se le han encontrado serios problemas. MD5 por el contrario,
es rechazado porque la potencia de computaci�n actual hace que sea
sencillo encontrar colisiones.

Esto es precisamente lo que han expuesto varios investigadores
internacionales en Berl�n el d�a 30 de diciembre. Han creado
certificados con identidades usurpadas, pero validados por CA. Lo han conseguido con fuerza bruta, forzando la colisi�n de la firma MD5. Esto
puede permitir crear sitios falsos con certificados que sean v�lidos, o
de forma pr�ctica: phishings perfectos.

C�mo lo han hecho

Aleg�ricamente, lo que han conseguido es recortar un sello del Estado
que da validez a un carn� cualquiera y pegarlo en un carn� falsificado
de otro individuo al que se pretende imitar. El m�rito del
descubrimiento es que parezca real aunque los sellos son �nico y est�n
creados a partir de los datos de todo el carn�, adem�s de lacrados por
una autoridad.

Por ejemplo, si se quiere falsificar el certificado de hispasec.com, los investigadores crear�an dos certificados, uno que falsificase los datos
de Hispasec y otro real con cualquier informaci�n. El truco es que han conseguido con fuerza bruta, que ambos resulten en un mismo hash
criptogr�f�co, en el mismo MD5. Entonces enviar�an el real (con
cualquier informaci�n no necesariamente relacionada con Hispasec) a una
CA que todav�a use MD5 para validar certificados. La CA lo firmar�a y lo validar�a con total normalidad. Luego los atacantes dan el cambiazo: les bastar�a con modificar el hash del certificado que falsifica los datos
de Hispasec con el hash del otro certificado, validado ya por una CA.
Como ambos resultan en el mismo hash aunque contengan distintos datos,
todo encaja, y el certificado falso seguir�a siendo matem�ticamente
v�lido a todos los efectos.

Qu� pasa ahora

No mucho. La tecnolog�a SSL es muy �til, y ahora se le ha encontrado
un peque�o hueco que hace que en teor�a, podamos dudar de todos los certificados de autoridades certificadoras que se basen en MD5, pero son
las que menos. En cualquier caso, el problema de base es que el usuario
medio no sabe qu� es SSL, ni qu� significa un certificado, y mucho menos interpretarlo. Como mucho, sabe que si est� en un sitio https, o el
candado del navegador est� activo, entonces el sitio es "bueno". Pero ya sabemos que para conseguir un candado en el navegador o incluso un
certificado no v�lido (aunque el navegador se queje, el usuario no
entender� la advertencia y dir� que "s�") no es necesaria tanta
complejidad. Un atacante puede comprar certificados baratos que validen
un nombre falso (banc0.com), el navegador ni se quejar� y el usuario
tampoco entender� qu� est� pasando.

SSL es t�cnicamente genial pero est� resultado una tecnolog�a
"socialmente" fallida. No es entendida por el usuario y ese es el mayor
de sus problemas. Con este golpe t�cnico la infraestructura de PKI se ha demostrado que incluso a los expertos se les podr�a enga�ar con los certificados, pero tambi�n es cierto que los que entienden la tecnolog�a
pocas veces se detienen a cuestionarse un certificado, comprobando la
ruta de certificaci�n y dem�s informaci�n proporcionada por el sitio supuestamente seguro. SSL arrastra la lacra del desconocimiento por
parte de la mayor�a de los usuarios. Si por ejemplo el DNI es aceptado nacionalmente como documento que valida una identidad, un certificado
SSL est� lejos de ser aceptado por el usuario medio de Internet como
documento que garantice nada.

Tambi�n hay que tener en cuenta que pocas CA usan hoy d�a MD5, y que
tras esta llamada de atenci�n es de esperar que sean todav�a menos en el futuro. Para los que posean certificados, es aconsejable que comprueben
que la CA que les ha dado validez usa o no MD5.

En definitiva, esto es grave sobre todo para https, pero nada
catastr�fico va a pasar a efectos pr�cticos para el usuario medio. Al
menos no m�s grave de lo que ya est� ocurriendo, teniendo en cuenta la credibilidad de la que todav�a gozan burdas copias de p�ginas web que
simulan ser bancos.

Todos los grandes fabricantes (que usen VPN basadas en SSL o implementen navegadores) han publicado avisos explicando el problema.

Opina sobre esta noticia:
http://www.hispasec.com/unaaldia/3721/comentar

M�s informaci�n:

MD5 considered harmful today
http://www.win.tue.nl/hashclash/rogue-ca/

17/06/2008 Mitos y leyendas: "Compruebe el candadito del navegador para
estar seguro" II (Troyanos)
http://www.hispasec.com/unaaldia/3524

03/06/2008 Mitos y leyendas: "Compruebe el candadito del navegador para
estar seguro" I (Phishing)
http://www.hispasec.com/unaaldia/3510

Sergio de los Santos
ssantos@hispasec.com

Tal d�a como hoy:
-----------------

31/12/2007: Resumen de seguridad de 2007 (y III)
http://www.hispasec.com/unaaldia/3355

31/12/2006: Resumen de seguridad de 2006 (y III)
http://www.hispasec.com/unaaldia/2990

31/12/2005: Desbordamiento de b�fer y escalada de privilegios en Gentoo Linux
http://www.hispasec.com/unaaldia/2625

31/12/2004: Vulnerabilidades en Moodle
http://www.hispasec.com/unaaldia/2260

31/12/2003: Parche de actualizaci�n de Microsoft Exchange 5.5 CDO
http://www.hispasec.com/unaaldia/1893

31/12/2002: Problemas de denegaci�n de servicio en diversos productos Cisco
http://www.hispasec.com/unaaldia/1528

31/12/2001: Diversos problemas de denegaci�n de servicio en Oracle9iAS Web Cache
http://www.hispasec.com/unaaldia/1163

31/12/2000: Creaci�n insegura de ficheros temporales en el "patchadd" de Solaris
http://www.hispasec.com/unaaldia/798

31/12/1999: Grave error de dise�o en el modelo de seguridad SCO UnixWare 7
http://www.hispasec.com/unaaldia/430

31/12/1998: Adios 1998, Feliz 1999
http://www.hispasec.com/unaaldia/65

-------------------------------------------------------------------
Claves PGP en http://www.hispasec.com/directorio/hispasec
-------------------------------------------------------------------
Bajas: mailto:unaaldia-request@hispasec.com?subject=unsubscribe
Altas: mailto:unaaldia-request@hispasec.com?subject=subscribe
-------------------------------------------------------------------
(c) 2008 Hispasec http://www.hispasec.com/copyright
-------------------------------------------------------------------

--- SoupGate-DOS v1.05
* Origin: Pasarela FTN-INet telnet://pucelabbs.dyndns.org:4000 (2:341/201.99)

Who's Online

System Info

Sysop:	Karloch
Location:	Madrid, Spain
Users:	74
Nodes:	8 (0 / 8)
Uptime:	27:29:12
Calls:	1,495
Files:	17,895
Messages:	65,841

=?iso-8859-1?q?una-al-dia_=2831/12/2008=29_Investigadores_consiguen_hac

Who's Online

System Info