Esta página es un servicio gratuito de Video Soft BBS - SUBSCRIBASE en nuestras listas de correo.

Busque su tema:

VSantivirus  Internet
Proporcionado por FreeFind

Video Soft BBS
Menú Principal
Anti Trojans

Antivirus
Hoaxes
Subscripciones
Otro software
Artículos
Links
Sugerencias
Sobre el BBS
Direcciones
Galería
Chat

Controlado desde el
19/10/97 por NedStat

OpenSSL ya no es tan seguro...
 
VSantivirus No. 959 - Año 7 - Viernes 21 de febrero de 2003

OpenSSL ya no es tan seguro...
http://www.vsantivirus.com/vul-open-ssl.htm

Por Redacción VSAntivirus
vsantivirus@videosoft.net.uy


SSL (Secure Sockets Layer), es un protocolo de seguridad estándar que proporciona privacidad para datos y mensajes, y que permite autenticar los datos enviados. Básicamente se utiliza para transmitir información personal de los usuarios a través de Internet, incluidas transacciones comerciales.

Generalmente las direcciones de páginas Web que utilizan conexiones SSL, comienzan con ‘https:’ en lugar del estándar ‘http:’. Cuando visitamos un sitio protegido por SSL, un pequeño candado suele ser mostrado en la parte inferior del navegador.

Investigadores suizos, han demostrado sin embargo, que es posible descubrir en menos de una hora la contraseña utilizada por cualquier visitante al conectarse a un sitio Web de venta comercial o cuenta de correo electrónico.

Esta vulnerabilidad en el software OpenSSL, podría haber permanecido mucho tiempo sin ser descubierta. Sin embargo, una vez conocida, es muy fácil implementar algún exploit que se aproveche de ella.

"Somos los primeros en haber descubierto esta vulnerabilidad en el protocolo SSL, el procedimiento de seguridad utilizado más habitualmente para las transacciones a través de Internet", afirmó en un comunicado el director del laboratorio de seguridad y criptografía de la Escuela Politécnica Federal de Lausana (EPFL), Serge Vaudenay.

El OpenSSL group, ya tiene disponible una nueva versión del software (la 0.9.7a), la cuál soluciona esta falla.

"Concretamente hemos desarrollado un programa que nos permite interceptar la contraseña de una persona utilizando un programa de comunicación segura por SSL", explicó Vaudenay. Los científicos se conectaron al programa haciéndose pasar por el usuario. Así, pueden leer los correos electrónicos o realizar transacciones financieras en su nombre.

Sin embargo, también aclaran que esta falla no se aplica a transacciones con tarjetas de crédito, ya que los bancos y sitios que manejan comercio electrónico, suelen utilizar un tipo diferente de tecnología basada en protocolos SSL, afirman los investigadores que descubrieron la falla.

Se utilizan varios tipos de algoritmos en la tecnología SSL para manejar información codificada. El tipo de protocolo vulnerable, es el utilizado generalmente en opciones de Webmail (correo electrónico vía Web, al estilo de Hotmail por ejemplo).

La solución pasa por la actualización a la versión OpenSSL 0.9.7a.

Más información sobre las actualizaciones:
http://www.openssl.org/

Fuentes:

The Common Vulnerabilities and Exposures project
http://cve.mitre.org/cgi-bin/cvename.cgi?name=CAN-2003-0078

Security Advisory:
http://www.openssl.org/news/secadv_20030219.txt



(c) Video Soft - http://www.videosoft.net.uy
(c) VSAntivirus - http://www.vsantivirus.com

 

Copyright 1996-2003 Video Soft BBS