¿TRANSACCIONES SEGURAS?: NO
Acerca del SSL
--------------------------------------------

La mayoría de las "teóricas" transacciones seguras de comercio electrónico en Internet se realizan mediante SSL: el famoso candadito amarillo que podemos ver en ciertas páginas en nuestro navegador. Está basado en el clásico cifrado de clave pública que puede parecen "intimidatorio" para un hacker novato.

Recordemos que SSL es una especificación de seguridad y, como tal, se encuentra sujeta a interpretaciones por aquellos que desarrollan productos de software. Si se cometen errores, la seguridad de la especificación queda reducida a cero. Más adelante veremos un ejemplo de un defecto de implementación.

Actualmente el protocolo de cifrado más potente disponible es de 128 bits y está implementado en todas las versiones de los actuales navegadores. Hasta hace unos años esto no era posible debido a que las leyes de exportación de los EEUU consideraban a las claves de cifrado mayores de 40 bits, como "material de guerra".

Veamos el tema anterior, con respecto a la violación de un certificado SSL de un sitio web legítimo. En teoría, esta violación sería invalidada gracias a una verificación cruzada de la identidad del certificado con el nombre DNS y dirección IP del servidor que se encuentra al otro extremo de la conexión. Esta es la teoría de la especificación SSL.

Sin embargo, el ACROSS Security Team de Eslovenia descubrió, por ejemplo, un defecto en la implementación en las antiguas versiones de Netscape anteriores a la 4.73: en estas versiones, cuando se establece una sesión SSL el navegador sólo comparaba la dirección IP y no el nombre DNS de un certificado contra las sesiones SSL existentes. Por tanto, engañando al explorador para que abra una sesión SSL en un servidor web malintencionado que se haga pasar por otro servidor legítimo, todas las sesiones SSL posteriores que se establezcan con el servidor web legítimo terminarían finalmente en el servidor malintencionado sin que el usuario recibiera ninguno de los mensajes de aviso normales.

Merece la pena entender las implicaciones relacionadas con esta "primera" vulnerabilidad descubierta a la implementación del protocolo SSL. Demasiada gente cree que una vez que el icono del candado SSL aparece en su explorador los problemas de seguridad ya han desaparecido. ACROSS demostró que esto nunca podrá ser así mientras el ser humando intervenga en el desarrollo del software.

Una vulnerabilidad similar fue descubierta en el IE, salvo que el problema del Internet Explorer era que sólo realizaba la comprobación de si el certificado había sido emitido por una autoridad de certificación válida sin molestarse también en verificar el nombre del servidor y la fecha de caducidad.

Estas verificaciones sólo se llevan a cabo cuando la conexión SSL realizada con el servidor SSL se efectúa a través de un marco o de una imagen, lo cual es una forma bastante poco eficaz de configurar sesiones SSL nada inteligentes que los usuarios pueden no advertir. IE también fracasaba a la hora de volver a validar el certificado si se establecía una nueva sesión SSL con el mismo servidor durante la misma sesión IE.

La única alternativa que nos queda es tener siempre al día las últimas versiones del navegador. Los fabricantes, de acuerdo con la industria del comercio electrónico, priman sobre todo la resolución de posibles problemas de seguridad debido a la implementación del estándar SSL.

--

José Manuel Tella Llop
jmtella@compuserve.com
Multinglés/JMT