¡SSL roto! Investigadores crean un certificado CA falso usando colisiones MD5

Usando la potencia de computo de un clúster de 200 consolas de juego PS3 y unos u$s700 para certificados digitales de prueba, un grupo de hackers en los EEUU y Europa han encontrado una manera de apuntar a una conocida debilidad en el algoritmo MD5 para así poder crea una Autoridad de Certificación (CA) falsa, un gran avance que permite la falsificación de certificados que son totalmente confiados por todos los navegadores Web modernos.

La investigación, que será (fue) presentada hoy (ayer 30 diciembre) por Alex Sotirov y Jacob Appelbaum en la conferencia 25C3 en Alemania, vence eficazmente la forma en que los navegadores modernos confían en los sitios seguros y provee de un camino a los atacantes para realizar ataques de phishing que son virtualmente indetectables.

La investigación es significativa porque existen al menos seis Autoridades de Certificación (CA) que usan actualmente el débil algoritmo criptográfico MD5 en las firmas digitales y certificados. Los navegadores Web más comúnmente usados – incluyendo el Internet Explorer de Microsoft y el Firefox de Mozilla – permiten estas CAs, lo que significa que una Autoridad de Certificación falsa podría mostrar a cualquier sitio como seguro (con el candado de SSL).

“Básicamente rompimos el SSL,” dijo Sotirov en una entrevista antes de su presentación en la 25C3.

Nuestro principal resultado es que estamos en posesión de un certificado de Autoridad de Certificación (CA) “falso”. Este certificado será aceptado como válido y confiable por muchos navegadores, ya que parece estar basado en uno de los “certificados CA raíz” presentes en la llamada “lista de confianza” del navegador. A su vez, los certificados de sitios web emitidos por nosotros y basados en nuestro certificado CA falso, también serán validados y confiados. Los navegadores mostraran a estos sitios como “seguros”, usando los indicadores comunes tales como el candado cerrado en el marco de la ventana del navegador, la dirección web comenzando con “https://” en lugar de “http://” , y mostrando frases tranquilizadoras como “Este certificado está OK” cuando el usuario haga clic en menúes de seguridad, botones o vínculos.

Investigadores en el Centrum Wiskunde & Informatica (CWI) de Holanda, EPFL en Suiza y la Eindhoven University of Technology (TU/e) de Holanda ayudaron en el diseño y la implementación del ataque usando una implementación avanzada de una construcción de colisiones MD5 ya conocida.

Según Sotirov, un CA falso en combinación con el ataque DNS de Dan Kaminsky podría tener serias consecuencias:

Por ejemplo, sin estar concientes de esto, los usuarios podrían ser redireccionados a sitios maliciosos que se parezcan exactamente a sitios confiables de banca o comercio electrónico que crean que están visitando. El navegador web podrá recibir un certificado falsificado que será confiado erróneamente, y las contraseñas y otros datos privados de los usuarios podrán caer en las manos equivocadas. Más allá de los sitios seguros y los servidores de correo, la vulnerabilidad también afectaría otros programas comúnmente usados.

Sotirov dijo que el equipo fue capaz de asegurar NDAs por adelantado a informar a los mayores proveedores de navegadores acerca del problema, pero debido a los temas –algunos prácticos y varios políticos- no hay arreglos simples a menos que las CAs dejen de usar MD5 y vayan al algoritmo más seguro SHA-1.

Para evitar abusos, el equipo fechó vencidos a sus certificados CA falsos (los hizo validos hasta Agosto de 2004 nada más) y no revelará la clave privada. “Tampoco vamos a liberar el código especial que usamos para las colisiones MD5 hasta un fecha más delante de este año,” agregó Sotirov.

”No anticipamos que este ataque sea repetible muy fácilmente. Si uno hace una implementación naif, necesitará unos seis meses para ejecutarlo exitosamente,” agregó.

”Arjen Lenstra, a cargo del Laboratorio EPFL para Algoritmos Criptológicos, el objetivo clave de la investigación fue estimular una mejor seguridad en Internet con protocolos adecuados para proveer la seguridad necesaria.

La jugada principal, según Lenstra: “Es imperativo que los navegadores y las CAs dejen de usar MMD5, y migren a alternativas más robustas tales como el estándar SHA-2 o el inminente SHA-3.”

Más detalles (en inglés):

• Explicacion detallada
• Diapositivas de la presentación en 25C3 (ppt)
• Diapositivas de la presentacion en 25C3 (pdf)
• Sitio de demostración (fije la fecha de su sistema antes de agosto de 2004 antes de hacer clic)

Colisión de certificados:

• Certificado real
• Certificado CA falso

Traducido para blog de Segu-info por Raúl Batista.
Autor: Ryan Naraine
Fuente: http://blogs.zdnet.com/security/?p=2339