Está usted visitando una publicación en la hemeroteca de CSIRT-CV.
Para acceder al portal y contenido actual, visite https://www.csirtcv.gva.es
14/02/2014
Distribuïts certificats SSL falsos per a robar la informació
L’ús d’estos certificats s’ha convertit en una ferramenta molt important tant per als usuaris domèstics com per a les institucions que els utilitzen.
Els primers s’asseguren que la seua informació es transferix de forma segura, i els segons s’asseguren que esta informació no pot ser robada, almenys amb facilitat. No obstant això, el problema apareix quan es fan usos de certificats SSL falsos.
Este tipus de certificats té una doble funció hui en dia. Com hem dit, la seua finalitat és protegir la informació subministrada per l’usuari, però també resulta molt útil per a poder saber la credibilitat que té un determinat lloc web.
D’esta forma, noms d’usuari, contrasenyes, correus electrònics i dades relacionades amb les targetes de crèdit haurien de viatjar de forma segura entre el nostre equip i els servidors de les institucions que utilitzen esta informació.
No obstant això, experts en seguretat han detectat que s’està injectant en els llocs web d’institucions governamentals, entitats bancàries o xarxes socials certificats SSL falsos. La finalitat d’esta acció no és cap altra que la de robar les dades de la comunicació entre ambdós extrems utilitzant l’atac man-in-the-middle.
El problema no es troba en la navegació web
Com és d’imaginar, açò no resulta un problema per a la majoria dels navegadors web actuals, ja que són capaços d’advertir l’usuari quan un lloc web utilitza un certificat SSL fals o que presenta algun tipus d’anomalia, invitant l’usuari a no continuar navegant en el lloc web i evitant que puga introduir dades que podrien arribar a ser robades.
Com es pot comprovar, en el navegador tot funciona de forma correcta, però és que l’objectiu no són els navegadors, sinó les aplicacions per a dispositius mòbils. Estes aplicacions no alerten de la mateixa manera que ho fan els navegadors i, en molts casos, no són capaços de gestionar estes fallades en què la seguretat de les dades de l’usuari quedaria danyada.
Xifres molt roïnes tant en iOS com en Android
Investigadors han fet una anàlisi d’un nombre no conegut d’aplicacions d’ambdós plataformes. El resultat ha sigut prou preocupant, ja que més del 40% de les aplicacions provades són vulnerables a este tipus d’atacs, perquè són incapaces de conéixer quan un certificat SSL és vàlid i quan es tracta d’un de fals dissenyat per a robar les dades dels usuaris.
Un certificat fals no és prou, però és un pas
Evidentment, per a dur a terme un atac man-in-the-middle, no només es necessita un certificat SSL fals, sinó que, a més, la persona que l'ha creat haurà d’estar en la mateixa xarxa local per a poder capturar les dades. Com diem, el certificat només no és prou, però amb el costum que hi ha de fer ús de xarxes Wi-Fi públiques hui en dia, qualsevol dia ens podem trobar que hem sigut víctimes d’un atac d’este tipus.