Está usted visitando una publicación en la hemeroteca de CSIRT-CV.
Para acceder al portal y contenido actual, visite https://www.csirtcv.gva.es
01/08/2012
Hacker revela greu vulnerabilitat en Exchange per a smartphones
Els treballadors i, per extensió, les empreses que revisen correu electrònic d’Exchange per mitjà d’un telèfon intel·ligent han d’extremar les precaucions, recomana el hacker Peter Hannay en la conferència Black Hat.
El hacker Peter Hannay va demostrar en la conferència Black Hat que fàcil és aconseguir que telèfons intel·ligents i tauletes es connecten a un compte fals d’Exchange. Com és sabut, Microsoft Exchange és el sistema més utilitzat per les empreses per a funcions de correu electrònic, calendari i agenda. Molts usuaris utilitzen Outlook per a revisar el seu correu, tant en el treball com fora.
No obstant això, des del moment mateix en què l’usuari comença a operar en la seua oficina mòbil s’obri una sèrie de possibilitats per a intrusos i ciberdelinqüents. Segons Hannay, Microsoft és indiferent davant de la validesa o caducitat dels denominats certificats SSL (secure socket layer), i això permetria a intrusos configurar un servidor d’Exchange fals que pot "atraure telèfons intel·ligents i fer-los caure en el seu parany".
En declaracions fetes per Hannay a Ars Technica, explica que la principal vulnerabilitat es troba en la manera en què el programari instal·lat en terminals mòbils maneja funcions d'encriptació i certificats digitals. Segons Hannay, el procediment estàndard hauria de ser: "Este certificat no és vàlid. Cap dels detalls és correcte. Per tant, no em connectaré a este sistema".
Segons la publicació, Hannay només va necessitar 40 línies de codi Python per a infringir els elements de seguretat d'SSL.
Encara que semble irònic, els certificats SSL estan dissenyats precisament per a impedir les intercepcions (o atacs man-in-the-middle). En altres paraules, la seua funció hauria de ser precisament permetre que telèfons intel·ligents i tauletes tàctils es connecten al servidor únicament quan el certificat presentat pel servidor conté una clau vàlida i encriptada que els identifique com cal.
L’experiment presentat per Hannay en la conferència demostra que això no sempre és així. Microsoft, per la seua banda, diu que n'està informat i que el seu departament Exchange analitza detalladament la informació aportada pel hacker Peter Hannay.