Problemas de seguridad en certificados SSL

Buenos días,

Hace ya algun tiempo sigo los pasos de gente como securitybydefault, s21sec labs, el laboratorio de hispasec, Sergio Hernando además del INTECO-CERT, todos con tematica en Seguridad de información, Auditoria de sistemas y Alertas tempranos.
Me encuentro con una noticia bastante «inquietante», un grupo de investigadores formado por:

Ha conseguido explotar una vulnerabilidad en los certificados SSL y crear certificadox X.509 falsos utilizando el poder de proceso de 200 PS3, lo que es equivalente a: 8.000 ordenadores personales y 20.000 US$ en tiempo de procesamiento.
¿Como?
A grandes rasgos ha conseguido manipular un certificado SSL normal y corriente con algoritmo md5 (destinado para un servidor web por eje.) y convertirlo en un certificado CA para la emisión de otros certificados ssl.
No quiero extenderme demasiado en el tema, pero aqui os dejo la información en español y aqui el documento original con todas las referencias del procedimiento.
Aqui dejo el enlace para las diapositivas:
http://www.phreedom.org/research/rogue-ca/md5-collisions-1.0.ppt

Microsiervos tambien hace echo de la noticia (by Alvy)

Esperaremos actualización de la información y posiblemente revocaciones de certificados Root en los navegadores…

Muchas gracias por leerme y un saludo

PHISHING Cuentas de correo electronico GMAIL

Sobre cuentas de correo electronico – GMAIL

 

Hace algun tiempo se ha hecho eco en toda la prensa y en vários medios digitales de un fallo de seguridad en la plataforma de correo electrónico GMAIL, en el cual el atacante puede establecer filtros de correo para el reenvio de cada correo que llega a otra cuenta de correo electronico.

Que en realidad es un ataque PHISHING que se ha realizado y que segun el propio blog de seguridad de google es un ataque comun donde intentan recaudar información critica del usuario simulando la pagina web de GMAIL.

Comentar que una de las mejores opciónes para «securizar» tu acceso a los servicios de google es siempre utilizar el protocolo HTTPS, asi comprobamos que la identidad del sito al cual vamos a conectar es realmente GOOGLE.

Además siempre utilizar la siguiente dirección: https://www.google.com/accounts y nunca pasar de largo los avisos de error de certificado que pueden salir cuando visitamos una pagina que no es Google.

 

Muchas gracias por leerme y un saludo a [email protected]