Se observan Certificados Digitales Falsos en conexiones SSL a Facebook

Visitar un sitio certificado con un certificado SSL no significa que el sitio no sea falso. Secure Socket Layer (SSL) protege a los usuarios de dos formas, usa la clave pública de cifrado para cifrar información sensible entre la computadora del usuario y el sitio web, tal como usuarios, contraseñas, números de tarjeta de crédito, y también verifica la identidad de los sitios web.

Los hackers y ciber-criminales de hoy en día están usando toda treta para robar credenciales de usuario y otros datos sensibles inyectando certificados SSL falsos a los sitios impostores que se hacen pasar por medios sociales, comercio electrónico, y también sitios web financieros.

Amplia Detección de Certificados Digitales Falsos

Un grupo de investigadores, Lin - Shung Huang, Alex Ricey , Erling Ellingseny y Collin Jackson, de la Universidad Carnegie Mellon en colaboración con Facebook han analizado [PDF] más de 3 millones de conexiones SSL y encontraron una fuerte evidencia de que al menos 6.845 (0,2 %) de ellos estaban de hecho manipulados con certificados falsificados, por ejemplo, certificados digitales auto-firmados que no estaban autorizados por los dueños legítimos de los sitios web, pero que serían aceptables como válidos por la mayoría de los navegadores.

Utilizaron un plug-in Flash Player ampliamente soportado para habilitar la funcionalidad socket e implementaron una validación parcial de enlace SSL para capturar certificados falsificados y desplegaron este mecanismo de detección en el sitio web Alexa top 10, de Facebook, que finaliza las conexiones mediante un conjunto diverso de operadores de redes de todo el mundo.

En general los navegadores web modernos muestran un mensaje de advertencia cuando se enfrentan a errores durante la validación de certificados SSL, pero la página de advertencia permite a los usuarios cotinuar adelante con una conexión potencialmente insegura.

Las conexiones SSL falsas pueden argumentar que las advertencias sobre los certificados son causadas principalmente por errores en la configuración del servidor. De acuerdo a una encuesta de usabilidad, muchos usuarios ignoran las advertencias sobre el certificado y confíar en certificados falsificados los podría hacer vulnerables a los más simples ataques de intercepción SSL.

Esto significa que un potencial atacante podría impersonar exitosamente cualquier sitio web, incluso para conexiones HTTPS, para realizar un ataque ManInTheMiddle SSL para poder interceptar la conexión cifrada.

Certificados Digitales Falsos Firmads con claves robadas un antivirus

Los investigadores observaron que la mayoría de los certificados SSL falsificados están usando el mismo nombre que las organizaciones emisoras de Certificados Digitales tales como VeriSign y Comodo.

Algunos software antivirus como Bitdefender, ESET, BullGuard, Kaspersky Lab, Nordnet, DefenderPro etc., tienen la capacidad de interceptar y escanear las conexiones SSL en los sistemas clientes para defender a sus usuarios de conexiones SSL falsas. Esos productos antivirus generan sus propios certificados que seran menos alarmantes que otros certificados digitales auto-firmados.

"Uno debería tener cuidado de los atacantes profesionales que podrían ser capaces de robar las claves privadas de los certificados firmantes de los proveedores de antivirus, lo cual esencialmente les permitiría espiar a los usuarios de antivirus (ya que el certificado raiz del antivirus sería confiable para el cliente), " explican los investigadores. "Hipotéticamente, los gobiernos podrían forzar a los proveedores de antivirus a entregarles sus claves de firmado."

Capacidades similares se observaron en varios Firewall, programas de control parental y software de publicidad que podría ser comprometido por atacantes para generar certificados digitales válido pero falsos.

Certificados Digitales Generados por Malware

Los investigadores también se dieron cuenta de otro interesante certificado auto-firmado, denominado ‘IopFailZeroAccessCreate’, el cual fue generado por algún malware en un sistema del lado cliente y usando el mismo nombre del emisor confiable de certificado "VeriSign Class 4 Public Primary CA."

"Esas variante proveen evidencia clara que los atacantes están generando certificados con atributos falsificados, e incluso aumentando su sofisticación durante el lapso de tiempo que duró nuestro estudio," dijeron

Las estadísticas detectadas muestran que los clientes infectados con el mismo malware que sirve los certificados digitales falsos ‘IopFailZeroAccessCreate’estaba disperso por 45 países distintos, incluyendo México, Argentina y Estados Unidos.

Investigadores de malware en Facebook, en colaboración con el equipo de Microsoft Security Essentials, fueron capaces de confirmar estas sospechas e identificar la familia específica del malware responsable de este ataque.

Técnicas de migración de detección y ataque

Los atacantes también pueden restringir los sockets basados en Flash bloqueando la política de tráfico de socket Flash en el puerto 843 o pueden evitar interceptar conexiones SSL hechas por el Flash Player para eludir las técnicas de detección usadas por los investigadores. Para contrarrestar esto, los sitios web podrían servir archivos de política de sockets por puertos amigables (80 o 443), multiplexando el tráfico web y las peticiones de política de sockets en sus servidores.

Adicionalmente los investigadores discutieron técnicas de migración en el trabajo, tales como HTTP Strict Transport Security (HSTS), Public Key Pinning Extension for HTTP (HPKP), TLS Origin-Bound Certidificates (TLS-OBC), Validación de Certificados con Escribanos y Autenticación de Nomre de Entidades basado en DNS (DANE), esos que pueden ser usados por los servidores para forzar HTTPS y validar los certificados digitales.

Como eliminar el Malware

Si tambien está infectado por cualquier malware similar, por favor siga las indicaciones de abajo para eliminarlo:

Verifique que su archivo hosts (C:WindowsSystem32Driversetchosts) no tenga entradas maliciosas
Verifique los ajustes de su DNS (Domain Name Server) en los sistemas y en el modem ADSL.
Verifique los ajustes de su proxy en el navegador
Compruebe los complementos instalados en el navegador
Instale un producto antivirus y Firewall reconocido y escanee en busca de archivos maliciosos

Traducción: Raúl Batista - Segu-Info

Autor: Swati Khandelwal

Fuente: The Hacker News

Leer más: Segu-Info: Se observan Certificados Digitales Falsos en conexiones SSL a Facebook http://blog.segu-info.com.ar/2014/05/se-observan-certificados-digitales.html#ixzz31p85P3cG