:quality(70)/cloudfront-us-east-1.images.arcpublishing.com/metroworldnews/TALQHL3HZRGQBAPFK2WZI3D3TA.jpg)
La metáfora obvia del día
Hace pocas semanas, en la conferencia Defcon 17, Moxie Marlinspike presentó una prueba de concepto en donde construía un certificado SSL null-prefix, que pese a ser completamente falso era reconocido como auténtico gracias a una falla en un componente de Windows (CryptoAPI ) usado por Internet Explorer, Google Chrome y Safari para Windows. Nueve semanas después Microsoft no ha sacado un parche para el problema, y la prueba de concepto se ha materializado en un “producto” real, un certificado null-prefix SSL para Paypal.
Usando este certificado, un hacker podría suplantar en forma perfecta la página de Paypal y hacer pensar a la víctima que está transando con el conocido y confiable portal de pagos. Para que esto suciediera, claro, tendría que apoderarse al mismo tiempo de los DNS de la víctima para que al digitar www.paypal.com ésta llegase al sitio fraudulento montado para la ocasión.
Considerando que el ataque de envenenamiento de DNS ya existe, puede que sea aconsejable no tentar a la suerte y usar otro navegador para acceder a Paypal al menos hasta que Microsoft parche su CryptoAPI o se deseche de una vez la encriptación MD5 que desde el año pasado se sabe que no es segura para los certificados SSL.
Link: IE, Chrome, Safari duped by bogus PayPal SSL cert (The Register)
