Hackers rompen SSL

E-commerce corre peligro

Un grupo de hackers gringos junto con un grupo de investigación europeo, han logrado dar con una importante debilidad en el algoritmo MD5 que mediante la creacion de un falso certificado de autorizacion (CA) logra pasar por certificado confiable en todos los navegadores modernos.

Usando un cluster de 200 PS3, Alex Sotirov y compañía pudieron experimentar con una técnica avanzada de colisión MD5 , la que será presentada en publico el día de hoy en la conferencia 25C3 en Alemania. Sotirov afirma que la construccion de los CA junto con el ataque DNS de Dan Kaminsky podrian tener consecuencias importantes en toda la internet.

Arjen Lenstra, líder del laboratorio de criptológica EPFL comenta que el objetivo fundamental de esta investigación es mejorar la seguridad en internet con adecuados protocolos, Lenstra también asegura "es imperativo que los navegadores y CAs dejen de usar MD5, y migren a una alternativa mas robusta como SHA-2 y el futuro estándar SHA-3"

Esta noticia sin duda pone a temblar a todo sitio el cual resguarda su seguridad vía SSL, pero también son blanco de critica los navegadores actuales (IE, Mozilla) los cuales permitirían el uso de los falsos certificados de autorización.

Fuente: ZDNET

Detalles de vulnerabilidad
Demostracion (Cambiar la fecha del sistema antes de agosto del 2004)