Problemas de seguridad en certificados SSL
31/12/2008 Leave a Comment
Buenos dÃas,
Hace ya algun tiempo sigo los pasos de gente como securitybydefault, s21sec labs, el laboratorio de hispasec, Sergio Hernando además del INTECO-CERT, todos con tematica en Seguridad de información, Auditoria de sistemas y Alertas tempranos.
Me encuentro con una noticia bastante «inquietante», un grupo de investigadores formado por:
- Alexander Sotirov
- Marc Stevens
- Jacob Appelbaum
- Arjen Lenstra
- David Molnar
- Dag Arne Osvik
- Benne de Weger
Ha conseguido explotar una vulnerabilidad en los certificados SSL y crear certificadox X.509 falsos utilizando el poder de proceso de 200 PS3, lo que es equivalente a: 8.000 ordenadores personales y 20.000 US$ en tiempo de procesamiento.
¿Como?
A grandes rasgos ha conseguido manipular un certificado SSL normal y corriente con algoritmo md5 (destinado para un servidor web por eje.) y convertirlo en un certificado CA para la emisión de otros certificados ssl.
No quiero extenderme demasiado en el tema, pero aqui os dejo la información en español y aqui el documento original con todas las referencias del procedimiento.
Aqui dejo el enlace para las diapositivas:
http://www.phreedom.org/research/rogue-ca/md5-collisions-1.0.ppt
Microsiervos tambien hace echo de la noticia (by Alvy)
Esperaremos actualización de la información y posiblemente revocaciones de certificados Root en los navegadores…
Muchas gracias por leerme y un saludo