> MAPA del WEB <
|
||||||||||||
|
|
||||||||||||
Noticias Profesionales
|
|
Viernes, 11 de noviembre de 2005 |
Noticias
Seguridad de la Información y Protección de DatosEl sello de seguridad de VeriSign podría ser falsificado
Hugo Vázquez, de Infohacking, ha descubierto que el sello de seguridad VeriSign que garantiza la autenticidad de una página, podría ser manipulado mediante inyección HTML
Cualquier dominio podría aparecer como auténtico y avalado por el sello de la prestigiosa VeriSign, símbolo de confianza en cuestión de certificados de seguridad. Esto permitiría realizar ataques phishing mucho más sofisticados.
VeriSign es una de las empresas confiables de mayor prestigio que, como Autoridad Certificadora, se dedica a certificar la validez de certificados de terceros. El sello VeriSign supone una prueba de que la página que visitan compradores y usuarios de servicios seguros, pertenece realmente a la empresa u organización con la que se quieren comunicar. Representa una garantía de seguridad contra el cada vez más popular phishing y otro tipo de estafas. Habitualmente todo tipo de tiendas y bancos online, lucen el sello VeriSign que certifica que la transacción es segura gracias al certificado SSL y que además se está realizando con la página legítima. Infohacking.com ha descubierto que, gracias a una inyección HTML, cualquiera puede lucir el sello de VeriSign y aparecer como una página confiable que cumple todas las condiciones de seguridad exigidas por la empresa para poseerlo. La página que certifica la posesión del sello, además, pertenece realmente a VeriSign, y sólo un minucioso estudio de la URL puede levantar alguna sospecha.
Habitualmente, para comprobar la veracidad del sello en una página segura, el usuario puede seguir el enlace sobre la imagen del sello y será reconducido a una página cifrada de la propia VeriSign que detalla y muestra toda la información relativa a la seguridad de la página. El enlace genérico es:https://seal.verisign.com/splash?form_file=fdf/splash.fdf&dn=www.PÁGINASEGURA.com&lang=en
El fallo se encuentra en el parámetro dn. Si se usa esta forma:
dn=<código_inyectado>.<dominio_válido>
Se puede intentar "reconstruir" una página que simule un certificado válido, aprovechando la validez de cualquier otro dominio realmente seguro. En el código inyectado, se podría simular una tabla parecida a la que aparece cuando se comprueba un dominio seguro real, y dar la sensación de que se está visitando una página perfectamente legal, con el sello de garantía de seguridad reconocido por la propia VeriSign. Como prueba de concepto simple, se ofrece este enlace:Este fallo invalida la fiabilidad de una de las prácticas más recomendables a la hora de detectar un caso de phishing. Siempre es aconsejable comprobar la veracidad de una página a través de el estudio de sus certificados, pero gracias a este grave error, una página con la que se pretenda realizar un ataque phishing podría aparecer como perfectamente válida y avalada por VeriSign.
Es de suponer que el fallo será corregido en breve tras haberse hecho público a través de la página de www.infohacking.com. En ella se hace hincapié en la gravedad del error, que levanta sospechas sobre la raíz de muchos árboles de confianza. "Si no puedes confiar en una de las Autoridades Certificadoras más importantes del mundo... ¿en quién puedes confiar?"
Fuente: www.alerta-antivirus.red.es
07.11.05Noticias relacionadas:
* Antiphising: se imponen los sistemas de controles reforzados (24.10.05)
* Los «piratas de la red» idean otro peligroso fraude para usurpar datos bancarios «on line» (05.10.05)
* Una nueva técnica de phishing muestra falsos iconos de seguridad para engañar al usuario (04.10.05)
Alerta máxima contra el "phising" (03.10.05)
* Seis pasos para sobrevivir a los ataques de Internet (08.09.05)
* Los recientes ataques de virus podrían deberse a una guerra entre delincuentes informáticos (29.08.05)
* La pesadilla de los virus informáticos (24.08.05)
* El Centro de Alerta Antivirus recomienda reforzar la seguridad al volver de vacaciones (23.08.05)
* Detectado un nuevo intento de fraude por Internet en una página falsa de recargas de móviles (23.08.05)
* Detectan un virus en móviles (17.08.05)
* Triunfan los detectives informáticos (17.08.05)
* Conozca a sus verdaderos enemigos informáticos (16.08.05)
*El "rey del spam" accede a pagar siete millones de dólares a Microsoft (11.08.05)
*El «phising» crece un 50% en todo el mundo (10.08.05)
*La seguridad, asignatura pendiente del sector de las nuevas tecnologías (08.08.05) * Los clientes de Santander Central Hispano sufren un nuevo ataque de 'phishing' (03.08.05)
