Pedro Jorge Viana de Bragança Menezes

Blog Personal

Archive for December, 2008

Problemas de seguridad en certificados SSL

Posted by Pedro Jorge on 31/12/2008

Buenos días,

Hace ya algun tiempo sigo los pasos de gente como securitybydefault, s21sec labs, el laboratorio de hispasec, Sergio Hernando además del INTECO-CERT, todos con tematica en Seguridad de información, Auditoria de sistemas y Alertas tempranos.
Me encuentro con una noticia bastante “inquietante”, un grupo de investigadores formado por:

Ha conseguido explotar una vulnerabilidad en los certificados SSL y crear certificadox X.509 falsos utilizando el poder de proceso de 200 PS3, lo que es equivalente a: 8.000 ordenadores personales y 20.000 US$ en tiempo de procesamiento.
¿Como?
A grandes rasgos ha conseguido manipular un certificado SSL normal y corriente con algoritmo md5 (destinado para un servidor web por eje.) y convertirlo en un certificado CA para la emisión de otros certificados ssl.
No quiero extenderme demasiado en el tema, pero aqui os dejo la información en español y aqui el documento original con todas las referencias del procedimiento.
Aqui dejo el enlace para las diapositivas:
http://www.phreedom.org/research/rogue-ca/md5-collisions-1.0.ppt

Microsiervos tambien hace echo de la noticia (by Alvy)

Esperaremos actualización de la información y posiblemente revocaciones de certificados Root en los navegadores…

Muchas gracias por leerme y un saludo

Posted in Actualidad, Seguridad | Tagged: , , , | Leave a Comment »