El supuesto último gran fallo de Internet del 2008

Desde hace dos días he leído toda clase de barbaridades acerca del supuesto “más grande ataque a la infraestuctura de internet” de los últimos tiempos. Además de desacertado (pues ya se había previsto) es completamente amarillista llamarlo así, al día de hoy (31 de diciembre) los investigadores que publicaron el ataque informan que el problema ha sido corregido por VeriSign y los potenciales afectados han sido informados.

He aquí de algunos titulares amarillistas que he encontrado:

Vulnerabilidad en la infraestructura de clave pública
El algoritmo MD5, en peligro
Researchers hack VeriSign’s SSL scheme for securing Web sites
Cómo unos hackers rompieron la seguridad del SSL usando 200 PS3

Hasta sitios que considero de respeto, como Astalavista, cayeron en el juego. Yo preferí leer el reporte orginal de los investigadores e informar breve pero verdaderamente el ataque que realizaron.

Breve introducción

Como alguna vez explicamos, una parte de la seguridad en Internet se basa en el uso de certificados digitales, que dan certeza sobre la identidad de un servidor en Internet. Un equipo de investigadores recientemente publicó una demostración de un ataque que permitió falsificar indetectablemente un certificado digital, firmado por la empresa RapidSSL (filial de VeriSign), y que los navegadores aceptan como parte del círculo de confianza.

El ataque fue factible porque la empresa RapidSSL generaba las firmas digitales, de sus certificados digitales, usando el esquema ‘MD5 con RSA’. El algoritmo MD5 ya se considera inseguro desde hace largo tiempo. Anteriormente se han realizado demostraciones impresionantes, por ejemplo el famoso caso de Nostradamus en donde generaron distintos archivos PDF que tenían el mismo hash MD5. Además desde 2005 ya se había publicado un artículo en donde se exponía cómo usar colisiones MD5 para generar dos certificados digitales distintos que produjeran el mismo hash.

El ataque

Lo que hicieron estos investigadores, para falsificar el certificado, fueron principalmente dos cosas: predecir probabilísticamente cuál iba a ser el siguiente número de serie (del certificado generado por RapidSSL) y generar una llave pública que ocasionara colisiones MD5. La parte más dificil fue construir una llave pública que ocasionara colisiones y construir la llave privada a partir de la llave pública, pues es necesario firmar con la llave privada la petición de un certificado. Se requirió el poder de un clúster de 200 PS3 para hacer los cálculos, además de gastar 657 dólares en la compra de certificados para poder predecir el número de serie.

El alcance de este ataque, como bien dicen ellos, está limitado para aquellas CA (Autoridades Certificadoras) que generen certificados firmados con MD5, y la gran mayoría actualmente firma con SHA-1. Aunque SHA-1 ya no se considera seguro no se conocen ataques de este tipo, pero ellos recomiendan que se use al menos SHA-2 para generar las firmas, porque puede ser que en poco tiempo empiecen a surgir ataques parecidos a los de MD5 y sí va a ser entonces un problema grave para todo el mundo.

En el artículo original se puede encontrar el certificado y una página web de muestra para ver el certificado en funcionamiento. Pero los investigadores se cuidaron de que nadie le dé mal uso a su trabajo, por lo que hicieron que el certificado expirara en 2004 y no publicaron la llave privada. Potencialmente, si se pudiera llevar a cabo este ataque para cualquier certificado, cualquiera podría falsificar la conexión segura de un banco (por ejemplo) y de manera indetectable si se combina con un DNS poisoning o pharming.

Un commentario
  1. lolin

    9 septiembre 2009

    k hijos de puta eh

Deja un comentario