Está usted visitando una publicación en la hemeroteca de CSIRT-CV.
Para acceder al portal y contenido actual, visite https://www.csirtcv.gva.es
01/08/2012
El hacker Peter Hannay va demostrar en la conferència Black Hat que fàcil és aconseguir que telèfons intel·ligents i tauletes es connecten a un compte fals d’Exchange. Com és sabut, Microsoft Exchange és el sistema més utilitzat per les empreses per a funcions de correu electrònic, calendari i agenda. Molts usuaris utilitzen Outlook per a revisar el seu correu, tant en el treball com fora.
No obstant això, des del moment mateix en què l’usuari comença a operar en la seua oficina mòbil s’obri una sèrie de possibilitats per a intrusos i ciberdelinqüents. Segons Hannay, Microsoft és indiferent davant de la validesa o caducitat dels denominats certificats SSL (secure socket layer), i això permetria a intrusos configurar un servidor d’Exchange fals que pot "atraure telèfons intel·ligents i fer-los caure en el seu parany".
En declaracions fetes per Hannay a Ars Technica, explica que la principal vulnerabilitat es troba en la manera en què el programari instal·lat en terminals mòbils maneja funcions d'encriptació i certificats digitals. Segons Hannay, el procediment estàndard hauria de ser: "Este certificat no és vàlid. Cap dels detalls és correcte. Per tant, no em connectaré a este sistema".
Segons la publicació, Hannay només va necessitar 40 línies de codi Python per a infringir els elements de seguretat d'SSL.
Encara que semble irònic, els certificats SSL estan dissenyats precisament per a impedir les intercepcions (o atacs man-in-the-middle). En altres paraules, la seua funció hauria de ser precisament permetre que telèfons intel·ligents i tauletes tàctils es connecten al servidor únicament quan el certificat presentat pel servidor conté una clau vàlida i encriptada que els identifique com cal.
L’experiment presentat per Hannay en la conferència demostra que això no sempre és així. Microsoft, per la seua banda, diu que n'està informat i que el seu departament Exchange analitza detalladament la informació aportada pel hacker Peter Hannay.