Hackers vulneran una capa de seguridad SSL

Un grupo de hackers americanos en colaboración con un segundo grupo europeo, han sido capaces de encontrar un agujero en un SSL(Secure Sockets Layer), la capa de seguridad utilizada en los pagos por tarjeta y comercio online.

Utilizando la potencia de computación de 200 consolas PS3 en cluster, este grupo de hackers ha encontrado una vulnerabilidad en el algoritmo MD5, y logrado hacer pasar como un certificado completamente confiable en todos los navegadores, un falso certificado de autorización(CA).

Esta investigación fue presentada en el día de ayer por Alex Sotirov y Jacob Appelbaum en la coneferencia alemana 25C3(Chaos Comunication Congress), conferencia que atrae a multitud de piratas informáticos, expertos en seguridad, cientificos, etc, y en la que se ofrecen ponencias y talleres sobre estos temas.

La investigación es importante, ya que e ella se muestran seis CAs usando la vulnerabilidad del algoritmo cryptográfico en firmas digitales y certificados. Ha sido testeado en los navegadores mas usados como Internet Explorer o Mozilla Firefox, lo que quiere decir que un falso certificado podría darse independientemente del navegador que se use.

Las palabras de Alex Soritov al responder en una entrevista fueron tajantes; “Hemos roto el SSL”.

Para la realización de este experimento han colaborado investigadores del Centrum Wiskunde & Informatica (CWI) en los países bajos, EPFL en Suiza, y la Universidad de Tecnología de Eindhoven. Este grupo de investigadores colaboró en el diseño y ejecución del ataque, utilizando una avanzada técnica de colisión MD5 mediante la utilización de mas de 200 consolas PS3 en cluster.

Según han comentado los artífices del proyecto, el objetivo de esta investigación es tratar de mejorar la seguridad en la red, y aconsejan que los navegadores dejen de usar MD5, y migren a SHA-2 o el futuro SHA-3.

Demostración de la vulnerabilidad.( Fijar una fecha en el sistema de antes de agosto de 2004).