Vulnerabilidad en Secure Sockets Layer (SSL)

Graves problemas de seguridad vienen acechando al protocolo SSL, encargado de la inmensa mayoría del flujo de datos ‘seguro’ de Internet. En una hora, un grupo de investigadores suizos, son capaces de hacerse con la clave usada en conexiones seguras.

Los investigadores de la Escuela Politécnica Federal de Lausana (EPFL), Suiza, han descubierto una grave vulnerabilidad en SSL(Secure Sockets Layer), permitiéndoles conseguir en menos de una hora la contraseña usada por un usuario cualquiera para acceder a un servicio comercial o una cuenta bancaria desde Internet, medio que sin duda está sumido en una gran inseguridad, siendo necesaria la toma de medidas, especialmente en sitios en donde se facilitan datos personales y de carácter económico, como tarjetas de crédito.

Por ello, nació en 1994 de la mano de Netscape, el protocolo SSL (capa de conexión segura), encargado de ofrecer una seguridad adicional a la comunicación entre dos nodos, generalmente en comunicaciones HTTP pasándolas a un modo seguro, HTTP Secured. De ahí, que al acceder al dominio de un site HTTP certificado mediante SSL comencemos indicando el protocolo .https://dominio.ext

Además, su situación en la pila OSI entre la capa de transmisión y la de aplicación, le otorga mayor versatilidad al poder hacer frente no solo a HTTP, sino también a otro tipo de protocolos de aplicación, tales como FTP, Telnet, SMTP y otros. El puerto utilizado por defecto por el protocolo SSL es el 443, pudiendo ser modificado a un puerto libre, a elección.

Su función es ‘autentificar’ el servidor mediante un Certificado de Seguridad, previo contrato por parte del autentificado a la entidad certificadora, como por ejemplo VeriSign, de dichos documentos acreditativos. Así, se podrá garantizar que la fuente de dichos datos es la esperada por el cliente, al tiempo que cifrar la información, tanto de salida (realizado en el servidor) como de llegada (realizado por el propio navegador del cliente), manteniendo la integridad y confidencialidad de ésta. Además, podemos asegurar también la identidad del cliente, si se desea.

Antes de comenzar una sesión segura mediante SSL, realizamos la solicitud de SSL al servidor dotado de éste, al acceder a su dirección en la red.

Una vez esta solicitud es atendida, se procede a conectar ambos extremos para crear el tubo seguro por el que viajarán datos encriptados entre las dos entidades, al menos una, perfectamente reconocida mediante un identificador digital, expedido por el organismo competente, identificador que es desencriptado por la llave pública del servidor.

Se determinan también en este momento características como los algoritmos criptográficos y de compresión, a utilizar en la transmisión de la información propiamente dicha, según los soportados por ambas partes, y es generada la clave variable que se enviará al servidor, distinta para cada conexión, a la espera de que éste la desencripte como confirmación. Este proceso se denomina SSL HandShake.

Tras el SSL HandShake, esta todo listo para comenzar a transmitir datos en una y otra dirección, verificando paulatinamente el estado seguro de la comunicación, autentificada y confidencial, gracias al algoritmo de cifrado simétrico.

Una vez terminada ésta, se advierte que la comunicación deja de ser segura, volviendo al estado normal de transmisión.

Bueno, pues la cosa es que incluso en el protocolo de seguridad más utilizado en Internet (especialmente en comunicación HTTP, como ya señalamos), se detectan graves vulnerabilidades que dejan al descubierto las transacciones, en principio seguras.

El tema está en que la interceptación de determinados bloques cifrados en el proceso de transmisión en una conexión segura, posibilita la creación de otro similar al recibido, siendo enviado el alterado al servidor, el cual informará del error a quien envió este último.

Analizando este informe es posible determinar datos importantes, tales como la contraseña.

Esto hace plantearse, repetidas veces, lo arriesgada que es la comunicación entre redes no seguras, a diferencia de lo que una gran mayoría de internautas desinformados cree.

Luego, vienen las protestas por robos de información de la tarjeta de crédito, o falsas ventas online, objeto de estafas…

Naikon. Bilbao. 12 Marzo, 2003.