Transcribo una conversación (ficticia sólo en parte) con un usuario de Internet normal y corriente, preocupado por la seguridad y que se ha interesado por los últimos incidentes con certificados falsos. Quiere saber qué postura adoptar. Con actitud desenfadada, pretendo concienciar sobre la enorme distancia que separa SSL/TLS del usuario común, y cómo está "socialmente roto". Relacionada: www.meneame.net/story/hackean-certificado-digital-google-robar-credenc

Hoy he querido cambiar mi contraseña del correo de Teléfonica y, después de entrar en mi correo web y no ver ninguna opción, he visto un enlace a un servicio de asistencia chat. Todo ha ido perfecto y he podido cambiar la contraseña rápidamente; aunque para ello había que hacerlo desde otra página y no la de propio correo. Se ve que en Telefónica eso de la usabilidad y la lógica no va con ellos. Animado por el buen servicio, incauto de mí, se me ocurrió volver a contactar con el servicio para ver si podía iniciar sesión usando SSL.

Ayer especulábamos sobre el fallo en la cadena de validación de certificados SSL en iOS que ha llevado a Apple a sacar una nueva actualización del sistema operativo (iOS 4.3.5) para corregirla. Hoy ya esto se ha convertido en un problema mucho más serio desde que se ha hecho público el problema, y es por tanto más que necesario actualizar el sistema operativo. Los iPhone 3G se quedan sin parche oficial de Apple.

Robert Graham de Errata Security ha conseguido entrevistar a Comodohacker, el joven iraní que ha hackeado uno de los servidores de Comodo en Italia asestando el que quizás haya sido el mayor golpe hasta ahora a la confianza en los certificados SSL.

Un joven hacker iraní de 21 años se ha declarado el autor de uno de los mayores ataques a la seguridad en Internet en los últimos años. Según él mismo dice y demuestra, ha intentado devolver el golpe que el pasado año asestaron los EE.UU. e Israel a la infraestructura nuclear iraní con el virus Stuxnet. Relacionada: www.meneame.net/story/certificados-fraudulentos-windows-chrome-firefox

Chrome advirtió el día 17 de que se actualizaba para revocar una serie de certificados digitales. Mozilla advirtió el día 22 de marzo de que actualizaba su navegador porque había incluido en él certificados fraudulentos. El día 23 es Microsoft la que confirma que debe actualizar su lista de certificados porque incluye varios inválidos. ¿Qué significa todo esto? ¿Qué pasa con los certificados?

Debido a éste tema, Google implementó en fase beta las búsquedas a SSL.Por defecto, solamente los usuarios de Estados Unidos podrán utilizar el navegador con más seguridad, pero pronto estará funcionando en todo el mundo. encrypted.google.com/ Actualmente, las búsquedas son el único medio donde SSL se encuentra activado, mientras que otros productos como las imágenes de Google y Google Maps no están disponibles actualmente a través de SSL.

Recopilación de las herramientas opensource empleadas por la últimamente famosa Wikileaks

A estas alturas todo el mundo está familiarizado con SSL, es la capa de seguridad mediante cifrado que incorpora HTTP para proteger las comunicaciones. Bajo las siglas SSL se encuentra un complejo entramado de longitudes, algoritmos y tipos de certificados. La forma en la que se combinan estos parámetros hace que un servidor ofrezca una conexión SSL mas o menos robusta....

Bajo las siglas SSL se encuentra un complejo entramado de longitudes, algoritmos y tipos de certificados. La forma en la que se combinan estos parámetros hace que un servidor ofrezca una conexión SSL mas o menos robusta. Como tantas cosas en el mundo de la seguridad, se cumple el axioma: mas robusto = mas inversión. Teóricamente y sobre el papel la banca online debería ser ejemplo a la hora de implementar SSL en sus servicios ..

Imaginemos una página que se entrega por Https, por ejemplo la página de login. En uno de los enlaces se va a generar el envío de credenciales a una aplicación y este puede ser https o http. Lo que el usuario espera es que sea https, pero... ¿qué pasa si se dejan todos los links con https menos justo ese utilizando sslstrip en un ataque mitm? Pues lo que pasa es que el usuario vería un candado y el link a https en la barra de tareas, pero no todo el contenido ha sido entregado cifrado :)

El próximo martes 30 de Noviembre tendrá lugar la quinta edición del Día Internacional de la Seguridad de la Información. El lugar de celebración será la UPM (Universidad Politécnica de Madrid). El acceso es libre y gratuito, si deseas asistir deberás realizar una preinscripción, también se podrá asistir al evento de modo on-line.

La red Wikileaks de Julian Assange sigue degradándose a ojos vista, con su fundador dando saltos por Europa y los ojos del mundo puestos en ella el espectáculo es descorazonador. Sólo se han publicado 12 documentos en lo que va de año y desde el 12 de Junio es imposible la comunicación segura para el envío de documentos o denuncias. El certificado SSL ha caducado y no es posible usar el protocolo HTTPS para enviar nada, asimismo el acceso desde TOR tampoco funciona con lo que el anonimato del denunciante no es posible. ¿Problemas económicos?

Si alguna vez has intentado realizar una compra en línea, es muy probable que hayas encontrado el logo de VeriSign. Uno de sus servicios más importantes radica en la entrega de certificados digitales de seguridad, los cuales le dan al usuario la garantía de que el sitio que está visitando no sólo es el verdadero, sino también que es seguro operar dentro del mismo. [..] posee el registro para los nombres de dominio .com y .net, además de otros servicios basados en DNS. El 35 por ciento del comercio electrónico en Estados Unidos pasa por VeriSign

HTTPS Everywhere es una extensión para el navegador Firefox creada por la Electronic Frontier Foundation (EFF) en colaboración con The Tor Project. Sirve para forzar el cifrado de la información enviada o recibida entre el navegador y los sitios web que soporten el protocolo HTTPS. La instalación del complemento es tan sencilla como la de cualquier otro.

Google acaba de implementar la opción para realizar búsquedas seguras con Google Search: httpS://www.google.com

Bruce Schneier, el criptógrafó y gurú en seguridad informática, se hace eco de un nuevo tipo de ataque al protocolo SSL, de tipo "Main-in-the-Middle". Según los autores del paper que cita Bruce Schneier, existen altos indicios de que agencias como la NSA podrían estar ordenando a las Autoridades de Certificación (CA) la creación de certificados SSL falsos, pudiendo espiar las comunicaciones cifradas en todos los navegadores sin que los usuarios lo detecten, al estar mostrándose el candado de seguridad. [ PDF: bit.ly/SSLmitm pág. 6 ]

Después de 11 años de desarrollo, se ha publicado la versión 1.0.0 de OpenSSL. La lista de cambios www.openssl.org/source/exp/CHANGES (via barrapunto.com/article.pl?sid=10/03/30/0824239&from=rss)

Los investigadores Christopher Soghoian y Sid Stamm publican el borrador de un paper en el que acusan que ciertas Autoridades Certificadoras colaboran con los gobiernos, posibilitando a estos descifrar conexiones SSL/TLS

Chapucillas varias dentro de la Administración Pública española. Entidades certificadoras llamadas localhost y Apache Friends, Ministerios que utilizan certificados que no le corresponden, certificados caducados desde 2006, etc. "Buscando distintas alternativas para ofrecer SSL para el acceso a Obture.com nos hemos encontrado con varias sorpresas en distintas páginas oficiales de la Administración."

Desde hace unos días, al pulsar en estos enlaces que existen en más de 1000 páginas web de comercios, te lleva a una página en la que aparece una alerta de certificado con una frase bien bonita y grande (depende de cada navegador) que pone "Esta conexión no está verificada"...

CAcert.org es una Autoridad de certificación administrada por la comunidad que otorga gratuitamente certificados de clave pública. (La mayor parte de las CAs son comerciales y venden certificados por cientos de dólares al año.) Más de 39,000 usuarios han verificado su identidad y CAcert ha otorgado más de 150,000 certificados para septiembre de 2006.

Un atacante puede solicitar un certificado para uno de sus subdominios. Después, una vulnerabilidad en la mayoría de los navegadores causará que analicen mal el nombre del dominio y crean que es válido. Se da el ejemplo de un certificado del sitio paypal.com[null].dominio.com, que algún navegador podría interpretar como el propio de paypal.com al terminar de leer en el carácter nulo.

Se ha detectado un error en la validación de certificados en la clase IO::Socket::SSL del modulo IO::Socket::INET de Perl. El fallo permitiría a un atacante remoto eludir restricciones de seguridad a través de un certificado especialmente manipulado. Debido a este fallo un atacante podría, por ejemplo, generar un certificado para el dominio www.ejem y suplantar entre otros a www.ejemplo.com

Explicación, con todo lujo de detalles, de los procesos que tienen lugar durante los primeros 220 milisegundos que pasan desde que pinchamos un enlace https:// en nuestro Firefox y el servidor de Amazon nos devuelve una página segura. Via: mbpfernand0.wordpress.com/2009/06/16/los-primeros-milisegundos-de-una-