Blog gratis
Reportar
Editar
¡Crea tu blog!
Compartir
¡Sorpréndeme!
Blog de la Escuela de Educación Secundaria Técnica N 8 de Quilmes
Administrador Prof. Claudio Enrique Alonso Alvite
img
15 de Mayo, 2014    General

Se observan Certificados Digitales Falsos en conexiones SSL a Facebook

Visitar un sitio certificado con un certificado SSL no significa que el sitio no sea falso. Secure Socket Layer (SSL) protege a los usuarios de dos formas, usa la clave pública de cifrado para cifrar información sensible entre la computadora del usuario y el sitio web, tal como usuarios, contraseñas, números de tarjeta de crédito, y también verifica la identidad de los sitios web.

Los hackers y ciber-criminales de hoy en día están usando toda treta para robar credenciales de usuario y otros datos sensibles inyectando certificados SSL falsos a los sitios impostores que se hacen pasar por medios sociales, comercio electrónico, y también sitios web financieros.

Amplia Detección de Certificados Digitales Falsos

Un grupo de investigadores, Lin - Shung Huang, Alex Ricey , Erling Ellingseny y Collin Jackson, de la Universidad Carnegie Mellon en colaboración con Facebook han analizado [PDF] más de 3 millones de conexiones SSL y encontraron una fuerte evidencia de que al menos 6.845 (0,2 %) de ellos estaban de hecho manipulados con certificados falsificados, por ejemplo, certificados digitales auto-firmados que no estaban autorizados por los dueños legítimos de los sitios web, pero que serían aceptables como válidos por la mayoría de los navegadores.

Utilizaron un plug-in Flash Player ampliamente soportado para habilitar la funcionalidad socket e implementaron una validación parcial de enlace SSL para capturar certificados falsificados y desplegaron este mecanismo de detección en el sitio web Alexa top 10, de Facebook, que finaliza las conexiones mediante un conjunto diverso de operadores de redes de todo el mundo.

En general los navegadores web modernos muestran un mensaje de advertencia cuando se enfrentan a errores durante la validación de certificados SSL, pero la página de advertencia permite a los usuarios cotinuar adelante con una conexión potencialmente insegura.


Las conexiones SSL falsas pueden argumentar que las advertencias sobre los certificados son causadas principalmente por errores en la configuración del servidor. De acuerdo a una encuesta de usabilidad, muchos usuarios ignoran las advertencias sobre el certificado y confíar en certificados falsificados los podría hacer vulnerables a los más simples ataques de intercepción SSL.

Esto significa que un potencial atacante podría impersonar exitosamente cualquier sitio web, incluso para conexiones HTTPS, para realizar un ataque ManInTheMiddle SSL para poder interceptar la conexión cifrada.

Certificados Digitales Falsos Firmads con claves robadas un antivirus

Los investigadores observaron que la mayoría de los certificados SSL falsificados están usando el mismo nombre que las organizaciones emisoras de Certificados Digitales tales como VeriSign y Comodo.

Algunos software antivirus como Bitdefender, ESET, BullGuard, Kaspersky Lab, Nordnet, DefenderPro etc., tienen la capacidad de interceptar y escanear las conexiones SSL en los sistemas clientes para defender a sus usuarios de conexiones SSL falsas. Esos productos antivirus generan sus propios certificados que seran menos alarmantes que otros certificados digitales auto-firmados.

"Uno debería tener cuidado de los atacantes profesionales que podrían ser capaces de robar las claves privadas de los certificados firmantes de los proveedores de antivirus, lo cual esencialmente les permitiría espiar a los usuarios de antivirus (ya que el certificado raiz del antivirus sería confiable para el cliente), " explican los investigadores. "Hipotéticamente, los gobiernos podrían forzar a los proveedores de antivirus a entregarles sus claves de firmado."
Capacidades similares se observaron en varios Firewall, programas de control parental y software de publicidad que podría ser comprometido por atacantes para generar certificados digitales válido pero falsos.

Certificados Digitales Generados por Malware

Los investigadores también se dieron cuenta de otro interesante certificado auto-firmado, denominado ‘IopFailZeroAccessCreate’, el cual fue generado por algún malware en un sistema del lado cliente y usando el mismo nombre del emisor confiable de certificado "VeriSign Class 4 Public Primary CA."

"Esas variante proveen evidencia clara que los atacantes están generando certificados con atributos falsificados, e incluso aumentando su sofisticación durante el lapso de tiempo que duró nuestro estudio," dijeron

Las estadísticas detectadas muestran que los clientes infectados con el mismo malware que sirve los certificados digitales falsos ‘IopFailZeroAccessCreate’estaba disperso por 45 países distintos, incluyendo México, Argentina y Estados Unidos.

Investigadores de malware en Facebook, en colaboración con el equipo de Microsoft Security Essentials, fueron capaces de confirmar estas sospechas e identificar la familia específica del malware responsable de este ataque.

Técnicas de migración de detección y ataque

Los atacantes también pueden restringir los sockets basados en Flash bloqueando la política de tráfico de socket Flash en el puerto 843 o pueden evitar interceptar conexiones SSL hechas por el Flash Player para eludir las técnicas de detección usadas por los investigadores. Para contrarrestar esto, los sitios web podrían servir archivos de política de sockets por puertos amigables (80 o 443), multiplexando el tráfico web y las peticiones de política de sockets en sus servidores. 

Adicionalmente los investigadores discutieron técnicas de migración en el trabajo, tales como HTTP Strict Transport Security (HSTS), Public Key Pinning Extension for HTTP (HPKP), TLS Origin-Bound Certidificates (TLS-OBC), Validación de Certificados con Escribanos y Autenticación de Nomre de Entidades basado en DNS (DANE), esos que pueden ser usados por los servidores para forzar HTTPS y validar los certificados digitales.

Como eliminar el Malware

Si tambien está infectado por cualquier malware similar, por favor siga las indicaciones de abajo para eliminarlo:
  • Verifique que su archivo hosts (C:WindowsSystem32Driversetchosts) no tenga entradas maliciosas
  • Verifique los ajustes de su DNS (Domain Name Server) en los sistemas y en el modem ADSL.
  • Verifique los ajustes de su proxy en el navegador
  • Compruebe los complementos instalados en el navegador
  • Instale un producto antivirus y Firewall reconocido y escanee en busca de archivos maliciosos  
Traducción: Raúl Batista - Segu-Info
Autor: Swati Khandelwal


Palabras claves , , , , , , ,
publicado por alonsoclaudio a las 18:51 · Sin comentarios  ·  Recomendar
 
Más sobre este tema ·  Participar
Comentarios (0) ·  Enviar comentario
Enviar comentario

Nombre:

E-Mail (no será publicado):

Sitio Web (opcional):

Recordar mis datos.
Escriba el código que visualiza en la imagen Escriba el código [Regenerar]:
Formato de texto permitido: <b>Negrita</b>, <i>Cursiva</i>, <u>Subrayado</u>,
<li>· Lista</li>
CALENDARIO
Ver mes anterior Enero 2023 Ver mes siguiente
DOLUMAMIJUVISA
1234567
891011121314
15161718192021
22232425262728
293031
BUSCADOR
Blog   Web
TÓPICOS
» General (2606)
NUBE DE TAGS  [?]
SECCIONES
» Inicio
ENLACES
MÁS LEÍDOS
» Analizando el LiveBox 2.1 de Orange
» Cómo espiar WhatsApp
» Cómo usar Metashield protector for Client y por qué utilizarlo
» Detectando tráfico de conexiones HTTP inversas de Meterpreter (Snort)
» Ejecución remota de código arbitrario en OpenSSH
» Ganar dinero con 1.200 Millones de identidades robadas
» Hardware y sus 4 Funcionamientos Basicos y Principales en una Computadora
» Redes de la Deep Web: CJDNS y la Red Hyperboria
» Unidad Central de Procesamiento CPU
» Wassap, la aplicación que permite usar WhatsApp desde la PC
SE COMENTA...
» Cómo espiar WhatsApp
595 Comentarios: Scott, Scott, Jarlinson mercy, [...] ...
» Qué hacer ante el robo de un teléfono móvil o una tableta
2 Comentarios: best buy security cameras swann, best buy security cameras swann
» Espiando usuarios gracias a la vulnerabilidad en cámaras TRENDnet
1 Comentario: Coin
» Recopilatorio de aplicaciones y sistemas vulnerables para practicar
2 Comentarios: vera rodrigez ...
» SoftPerfect WiFi Guard permite saber quién esta conectado a mi WiFi
2 Comentarios: firdous ...
SOBRE MÍ
FOTO

Prof. Claudio Enrique Alonso Alvite



» Ver perfil

AL MARGEN
Escuela de Educacion Secundaria Tecnica N 8 de Quilmes
(Técnicos en Informática Personal y Profesional)
FULLServices Network | Blogger | Privacidad