[Previo por Fecha] [Siguiente por Fecha] [Previo por Hilo] [Siguiente por Hilo]
[Hilos de Discusión] [Fecha] [Tema] [Autor]-----BEGIN PGP SIGNED MESSAGE-----
> . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
>
> 'Area de Seguridad en C'omputo
>
> DGSCA- UNAM
>
> Bolet'in de Seguridad 2000-006
>
> Inconsistencia en los Mensajes del programa Netscape
> . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
>
> En las 'ultimas horas se detect'o una falla dentro del programa Netscape
> Navigator que permite a un intruso poder hacer pasar como un sitio web
> v'alido y de esta forma comprometer la validez de la informaci'on
> contenida en el DNS(Domain Name Service). Este Problema es completamente
> diferente al reportado en el Bolet'in ASC 2000-003
> (http://www.asc.unam.mx/boletines/boletin-asc-00003-2000), pero presenta
> un impacto similar.
>
> Si un usuario visita un sitio web dentro del cual el nombre del
> certificado no coincida con el nombre del sitio y continua la conexi'on,
> netscape despliega el mensaje de advertencia de la no validaci'on del
> certificado, posteriormente las conexiones realizadas por sitios v'alidos
> con el mismo certificado no les ser'a mostrarado el mensaje de
> advertencia.
>
> Cabr'ia sen~alar que esta Vulnerabilidad y la descrita en el Boletin ASC
> 2000-003(http://www.asc.unam.mx/boletines/boletin-asc-00003-2000) No
> representan una vulnerabilidad en el programa SSL(Secure Socket Layer). En
> algunas ocasiones, estos problemas son debidos a configuraci'on de
> sistemas DNS inseguros, combinados con una vulnerabilidad en los
> Navegadores al hacer la verificaci'on.
>
> El navegador Netscape y algunos otros toman las medidas pertinentes para
> prevenir a los usuarios cuando la informaci'on recibida del DNS parece
> sospechosa. El navegador no verifica todas las conexiones
> que realiza el usuario, por lo que no asegura que el usuario se conecte al
> lugar deseado. De forma adicional el CERT/CC y el 'Area de Seguridad en
> C'omputo de la UNAM recomienda validar los certificados antes de manejar
> transacciones que puedan contener informaci'on Confidencial y sensible que
> viaje atrav'es de la red.
>
> , , , , , , , , , , , , , , ,
> * Sistemas Afectados *
> , , , , , , , , , , , , , , ,
>
> Todos los sistemas que ejectutan Netscape Navigator, incluso las
> verisones m'as recientes 4.73 y posteriores.
>
>
> Fecha de Detecci'on en los EU : Mayo 26 del 2000
> Fecha de Notificaci'on : Mayo 27 del 2000
> 'Ultima Revisi'on : Mayo 27 del 2000
> Sistemas Afectados : Netscape en todas
> sus versiones, incluyendo las
> 'ultimas versiones 4.73 y
> posteriores, sin el Personal
> Manager Security instalado.
>
> , , , , , , , , , , , , , , ,
> * Descripci'on del Problema *
> , , , , , , , , , , , , , , ,
>
> Los certificados digitales son pequen~os documentos usados para autenticar
> y cifrar informaci'on transmitida atrav'es del Internet. Una de las formas
> m'as usadas de los certificados digitales es el hacer seguras las
> transacciones del comercio electr'onico atarves del uso del SSL. Este tipo
> de certificados son usados en las transacciones del comercio electr'onico
> y son com'unmente llamados certificados X.509. Los certificados X.509 ayudan a los
> navegadores y a los usuarios a verificar que cualquier informaci'on
> sensitiva transmitida atrav'es del Internet es 'unicamente le'ida s'olo
> por las personas que el usuario desea. 'Esto requiere que el emisor
> verifique su identidad y cifre los datos que ser'an transmitidos en dicha
> negociaci'on para que el receptor los pueda descifrar.
>
> El icono de la llave conocido como "padlock" localizado en la esquina
> inferior izquierda en los navegadores como Netscape, Internet Explorer y
> otros, nos indican que en ese momento una transacci'on segura del tipo SSL
> est'a comenzand'o. Esto no necesariamente nos indica que dicha conexion se
> haya establecido. Netscape y algunos otros navegadores despliegan una
> variedad de mensajes tratando de prevenir y notificar a los usuarios
> cuando la informaci'on contenida dentro de los DNS no concuerda 'o
> presenta alg'una anomal'ia comparada con la informaci'on contenida dentro
> de los certificados X.509 usados en las transacciones SSL. Dichos
> mensajes de advertencia son informaci'on adicional hacia los usuarios para
> ayudarlos a decidir si desean realizar la conexi'on a'un sin verificar los
> sitios a los cuales ellos establecen una conexi'on.
> Estos mensajes y pasos subsecuentes fueron disen~ados para proteger a los
> equipos de los ataques del tippo de robo de informaci'on del DNS o' de los
> del tipo DNS spoofing.
>
> Una breve descipci'on del problema al presentarse estos casos es :
>
> Dentro de una sesi'on del netscape si un usuario oprime la tecla
> "Continue" como una respuesta al mensaje de error "hostname does not match
> name in certificate", dicho certificado es validado de forma incorrecta
> para su uso posterior dentro de la sesi'on del Netscape, proporcion'ando
> el nombre del equipo, direcci'on IP, provocando que otros equipos que
> usan el mismo certificado no lo puedan realizar.
>
> Por ejemplo, supongamos que un intruso construye un sitio web llamado
> example.com, autenticado por un certificado que no concuerda con el
> example.com, y convence a la v'ictima de navegar ah'i. Netscape
> desplegar'a un mensaje indicando que el sitio al cual el usuario intenta
> establecer comunicaci'on no concuerda con la informaci'on contenida dentro
> del certificado. Si el usuario no tiene intenci'on alguna de
> proporcionar informaci'on de tipo confidencial a www.example.com podr'a
> elegir la opci'on de continuar (con s'olo apretar el bot'on "OK"),
> creyendo que existe una mala configuraci'on del lado del sitio example.com
> o que se debe a una falla en los cuadros de dialogo interno.
>
> Bajo las siguientes circusntancias no se presentar'an mensajes de
> di'alogo en la misma sesi'on :
>
> * Si el intruso modifica la informaci'on contenida dentro del DNS
> 'o forza a 'este en alguna forma para poder validar la direcci'on
> IP del sitio original y que el DNS pueda resolver a la direcci'on
> IP del sistema deseado por el intruso(presumiblemente un
> sistema bajo su control).
>
> * Si el sistema que se encuentra bajo control del intruso es
> autenticado usando el mismo certificado que www.example.com, con
> el cual el usuario previamente acept'o en los cuadros de di'alogo
> mencionado en la parte superior.
>
> * Si la v'ictima intenta conectarse al sitio Original( pero aun el
> sitio se encuentra direccionado al sito del intruso realizado
> mediante redireccionamiento del DNS).
>
> Esto permitir'a al intruso el poder desviar la verificaci'on "Sanity
> checking" realizada por Netscape, y el resultado ser'a que el usuario
> pueda proporcionar informaci'on confidencial y sensitiva al intruso.
>
>
> , , , , , , ,
> * IMPACTO *
> , , , , , , ,
>
> Los Intrusos pueden engan~ar a los usuarios v'alidos dentro del
> sistema para obtener informaci'on confidencial(tal como n'umeros de la
> tarjeta de cr'edito, datos personales, u otra informaci'on sensible) que
> ser'a enviada a un sitio dentro del Internet legitimo, y lo podr'an hacer
> si el usuario ha validado previamente un certificado en el cual el nombre
> del registro dentro del certificado no corresponde con el nombre del DNS
> del sitio web al cual el usuario se est'a conectando.
>
> , , , , , , ,
> * SOLUCION *
> , , , , , , ,
>
>
> 1.- Verificaci'on de los Certificados
>
> El CERT/CC y el 'Area de Seguridad en C'omputo de la UNAM
> recomiendan que antes de proporcionar cualquier informaci'on
> confidencial atrav'es del SSL, se verifiquen los nombres de los registros
> dentro de los certificados para asegurarse que realmente se esta
> conectando al sitio que se desea.
>
> Por ejemplo, dentro de Netscape, verificar en el icono de la llave que
> indica una sesi'on segura ('icono de la llave, llamada "padlock") para
> poder continuar con el mensaje de "security Info" en el cuadro de
> di'alogo. Enseguida seleccionar la opci'on "View Certificate". Un mensaje
> aparecer'a listando la autoridad certificadora que firmo dicho certificado
> y que lo expedi'o, as'i como el servidor al cual fue registrado. Si no
> conf'ias en las autoridades certificadoras 'o si el nombre del servidor no
> concuerda con el del sitio al cual se est'a conectando, te recomendamos
> verificarlo hasta que desaparezcan tus dudas.
>
>
> 2.- Validar Certificados de Forma Independiente
>
> Los navegadores vienen configurados para confiar en una gran variedad de
> autoridades Certificadoras. Si borras los certificados de todas las
> autoridades cetificadoras en tu navegador, cada vez que encuentres un
> nuevo certificado SSL, se te desplegar'a un mensaje indic'andote si deseas
> validar dicho certificado. Esto lo podr'as hacer verificando la huella
> digital(fingerprint) dentro del certificado atrav'es de una serie de datos
> tales como el tel'efono. Si deseas validar el certificado por ti mismo, te
> recomendamos llamar a la organizaci'on para la cual el certificado fue
> expedido y pidas la confirmaci'on de la huella digital(fingerprint)
> del certificado.
>
> Es importante observar que esta clase de verificaci'on ser'a
> 'unicamente efectiva si usted tiene medios independientes con los
> cuales podr'a validar el certificado. Esta clase de validaci'on se llama
> validaci'on out-of-band. Por ejemplo, llamar a un n'umero de tel'efono
> proporcionado en el mismo sitio Web no proporciona a ninguna seguridad adicional.
>
> El CERT/CC y el ASC recomienda a todas las organizaciones que realizan comercio
> electr'onico capacitar a su personal para que proporcione la ayuda
> necesaria en la contestaci'on de preguntas subsecuentes a esta
> vulnerabilidad relativos a la huella digital(fingerprint) de los
> certificados.
>
> 3.- Rechazar Certificados que no concuerden con el nombre del servidor.
>
> Como un mecanismo de defensa contra esta vulnerabilidad, recomendamos no
> aceptar certificados que no concuerden con el nombre del servidor. La
> causa m'as probable de un error en el certificado del tipo no-non-matching
> se debe a un error en la configuraci'on de parte del administrador del
> sitio. Sin embargo, un usuario no puede distinguir entre una mala
> configuraci'on y un ataque con otros fines. Aun si el usuario no provee
> alguna informaci'on de tipo confidencial a un sitio con un certificado del
> tipo "non-matching" el contestar "OK" al cuadro de di'alogo puede
> permitir al intruso el poder llevar a cabo con 'exito su prop'osito.
>
> Recomendamos que est'e actualizado con las futuras versiones y parches de
> dichos productos.
>
> , , , , , , ,
> * INFORMACION *
> , , , , , , ,
>
> Si deseas consultar 'este bolet'in en su formato original puedes consultar
> la siguiente direcci'on :
>
> http://www.cert.org/advisories/CA-2000-08.html
>
> Para Mayor Informaci'on o Detalles de este bolet'in contactar a:
>
>
> 'Area de Seguridad en C'omputo
> DGSCA- UNAM
> Tel : 56 22 81 69
> Fax : 56 22 80 43
> E-Mail : asc en conga super unam mx
> http://www.asc.unam.mx/boletines
> ftp://ftp.asc.unam.mx
>
> ---
> Juan Carlos Guel L'opez
> Area de Seguridad en C'omputo E-mail: asc en conga super unam mx
> DGSCA, UNAM Tel.: 5622-81-69 Fax: 5622-80-43
> Circuito Exterior, C. U. WWW: http://www.asc.unam.mx/
> 04510 Mexico D. F. PGP: finger asc en ds5000 super unam mx
-----BEGIN PGP SIGNATURE-----
Version: PGP 6.5.1i
iQEVAwUBOTIrtT6HeEeO/+C1AQGD/wf8DqgafoEeSdb7OJDIG3gn5J3r/0u5oaFx
zPLA7BbuQ+jcMcjv+L5Or35MwTNP5yTp5JkIiFSIzqYh2/p9I4A+TrRBqR/Lj+FG
GMnYSkC6kl+xCxF63q1ZRpSQBMJKVH2+qGfUJrR82RJo/nu3fSwE4zdJswTU9ACU
dr2RrXx5VB6c56mhRQ96U12wyqsTFnh12Gm0XcDsAzfgOSgM+vDbJ/Kgr4yxaxGg
X1Z/y78o8BK7+WxcwO4yb6onYTMoiyg1WUDrGXEVF/gjQcejZwRZlIjWXHYNHcuS
c7D0tktO6kjw94bBxosQXC5x4GIFwRVw0OzaCc2tQPZYare69gjcmQ==
=ecj6
-----END PGP SIGNATURE-----
--
Para desuscribirse, mande correo a: ayuda-unsubscribe en linux org mx
Para comandos adicionales, envíelo a: ayuda-help en linux org mx