[Previo por Fecha] [Siguiente por Fecha] [Previo por Hilo] [Siguiente por Hilo]
[Hilos de Discusión] [Fecha] [Tema] [Autor]-----BEGIN PGP SIGNED MESSAGE----- > . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . > > 'Area de Seguridad en C'omputo > > DGSCA- UNAM > > Bolet'in de Seguridad 2000-006 > > Inconsistencia en los Mensajes del programa Netscape > . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . > > En las 'ultimas horas se detect'o una falla dentro del programa Netscape > Navigator que permite a un intruso poder hacer pasar como un sitio web > v'alido y de esta forma comprometer la validez de la informaci'on > contenida en el DNS(Domain Name Service). Este Problema es completamente > diferente al reportado en el Bolet'in ASC 2000-003 > (http://www.asc.unam.mx/boletines/boletin-asc-00003-2000), pero presenta > un impacto similar. > > Si un usuario visita un sitio web dentro del cual el nombre del > certificado no coincida con el nombre del sitio y continua la conexi'on, > netscape despliega el mensaje de advertencia de la no validaci'on del > certificado, posteriormente las conexiones realizadas por sitios v'alidos > con el mismo certificado no les ser'a mostrarado el mensaje de > advertencia. > > Cabr'ia sen~alar que esta Vulnerabilidad y la descrita en el Boletin ASC > 2000-003(http://www.asc.unam.mx/boletines/boletin-asc-00003-2000) No > representan una vulnerabilidad en el programa SSL(Secure Socket Layer). En > algunas ocasiones, estos problemas son debidos a configuraci'on de > sistemas DNS inseguros, combinados con una vulnerabilidad en los > Navegadores al hacer la verificaci'on. > > El navegador Netscape y algunos otros toman las medidas pertinentes para > prevenir a los usuarios cuando la informaci'on recibida del DNS parece > sospechosa. El navegador no verifica todas las conexiones > que realiza el usuario, por lo que no asegura que el usuario se conecte al > lugar deseado. De forma adicional el CERT/CC y el 'Area de Seguridad en > C'omputo de la UNAM recomienda validar los certificados antes de manejar > transacciones que puedan contener informaci'on Confidencial y sensible que > viaje atrav'es de la red. > > , , , , , , , , , , , , , , , > * Sistemas Afectados * > , , , , , , , , , , , , , , , > > Todos los sistemas que ejectutan Netscape Navigator, incluso las > verisones m'as recientes 4.73 y posteriores. > > > Fecha de Detecci'on en los EU : Mayo 26 del 2000 > Fecha de Notificaci'on : Mayo 27 del 2000 > 'Ultima Revisi'on : Mayo 27 del 2000 > Sistemas Afectados : Netscape en todas > sus versiones, incluyendo las > 'ultimas versiones 4.73 y > posteriores, sin el Personal > Manager Security instalado. > > , , , , , , , , , , , , , , , > * Descripci'on del Problema * > , , , , , , , , , , , , , , , > > Los certificados digitales son pequen~os documentos usados para autenticar > y cifrar informaci'on transmitida atrav'es del Internet. Una de las formas > m'as usadas de los certificados digitales es el hacer seguras las > transacciones del comercio electr'onico atarves del uso del SSL. Este tipo > de certificados son usados en las transacciones del comercio electr'onico > y son com'unmente llamados certificados X.509. Los certificados X.509 ayudan a los > navegadores y a los usuarios a verificar que cualquier informaci'on > sensitiva transmitida atrav'es del Internet es 'unicamente le'ida s'olo > por las personas que el usuario desea. 'Esto requiere que el emisor > verifique su identidad y cifre los datos que ser'an transmitidos en dicha > negociaci'on para que el receptor los pueda descifrar. > > El icono de la llave conocido como "padlock" localizado en la esquina > inferior izquierda en los navegadores como Netscape, Internet Explorer y > otros, nos indican que en ese momento una transacci'on segura del tipo SSL > est'a comenzand'o. Esto no necesariamente nos indica que dicha conexion se > haya establecido. Netscape y algunos otros navegadores despliegan una > variedad de mensajes tratando de prevenir y notificar a los usuarios > cuando la informaci'on contenida dentro de los DNS no concuerda 'o > presenta alg'una anomal'ia comparada con la informaci'on contenida dentro > de los certificados X.509 usados en las transacciones SSL. Dichos > mensajes de advertencia son informaci'on adicional hacia los usuarios para > ayudarlos a decidir si desean realizar la conexi'on a'un sin verificar los > sitios a los cuales ellos establecen una conexi'on. > Estos mensajes y pasos subsecuentes fueron disen~ados para proteger a los > equipos de los ataques del tippo de robo de informaci'on del DNS o' de los > del tipo DNS spoofing. > > Una breve descipci'on del problema al presentarse estos casos es : > > Dentro de una sesi'on del netscape si un usuario oprime la tecla > "Continue" como una respuesta al mensaje de error "hostname does not match > name in certificate", dicho certificado es validado de forma incorrecta > para su uso posterior dentro de la sesi'on del Netscape, proporcion'ando > el nombre del equipo, direcci'on IP, provocando que otros equipos que > usan el mismo certificado no lo puedan realizar. > > Por ejemplo, supongamos que un intruso construye un sitio web llamado > example.com, autenticado por un certificado que no concuerda con el > example.com, y convence a la v'ictima de navegar ah'i. Netscape > desplegar'a un mensaje indicando que el sitio al cual el usuario intenta > establecer comunicaci'on no concuerda con la informaci'on contenida dentro > del certificado. Si el usuario no tiene intenci'on alguna de > proporcionar informaci'on de tipo confidencial a www.example.com podr'a > elegir la opci'on de continuar (con s'olo apretar el bot'on "OK"), > creyendo que existe una mala configuraci'on del lado del sitio example.com > o que se debe a una falla en los cuadros de dialogo interno. > > Bajo las siguientes circusntancias no se presentar'an mensajes de > di'alogo en la misma sesi'on : > > * Si el intruso modifica la informaci'on contenida dentro del DNS > 'o forza a 'este en alguna forma para poder validar la direcci'on > IP del sitio original y que el DNS pueda resolver a la direcci'on > IP del sistema deseado por el intruso(presumiblemente un > sistema bajo su control). > > * Si el sistema que se encuentra bajo control del intruso es > autenticado usando el mismo certificado que www.example.com, con > el cual el usuario previamente acept'o en los cuadros de di'alogo > mencionado en la parte superior. > > * Si la v'ictima intenta conectarse al sitio Original( pero aun el > sitio se encuentra direccionado al sito del intruso realizado > mediante redireccionamiento del DNS). > > Esto permitir'a al intruso el poder desviar la verificaci'on "Sanity > checking" realizada por Netscape, y el resultado ser'a que el usuario > pueda proporcionar informaci'on confidencial y sensitiva al intruso. > > > , , , , , , , > * IMPACTO * > , , , , , , , > > Los Intrusos pueden engan~ar a los usuarios v'alidos dentro del > sistema para obtener informaci'on confidencial(tal como n'umeros de la > tarjeta de cr'edito, datos personales, u otra informaci'on sensible) que > ser'a enviada a un sitio dentro del Internet legitimo, y lo podr'an hacer > si el usuario ha validado previamente un certificado en el cual el nombre > del registro dentro del certificado no corresponde con el nombre del DNS > del sitio web al cual el usuario se est'a conectando. > > , , , , , , , > * SOLUCION * > , , , , , , , > > > 1.- Verificaci'on de los Certificados > > El CERT/CC y el 'Area de Seguridad en C'omputo de la UNAM > recomiendan que antes de proporcionar cualquier informaci'on > confidencial atrav'es del SSL, se verifiquen los nombres de los registros > dentro de los certificados para asegurarse que realmente se esta > conectando al sitio que se desea. > > Por ejemplo, dentro de Netscape, verificar en el icono de la llave que > indica una sesi'on segura ('icono de la llave, llamada "padlock") para > poder continuar con el mensaje de "security Info" en el cuadro de > di'alogo. Enseguida seleccionar la opci'on "View Certificate". Un mensaje > aparecer'a listando la autoridad certificadora que firmo dicho certificado > y que lo expedi'o, as'i como el servidor al cual fue registrado. Si no > conf'ias en las autoridades certificadoras 'o si el nombre del servidor no > concuerda con el del sitio al cual se est'a conectando, te recomendamos > verificarlo hasta que desaparezcan tus dudas. > > > 2.- Validar Certificados de Forma Independiente > > Los navegadores vienen configurados para confiar en una gran variedad de > autoridades Certificadoras. Si borras los certificados de todas las > autoridades cetificadoras en tu navegador, cada vez que encuentres un > nuevo certificado SSL, se te desplegar'a un mensaje indic'andote si deseas > validar dicho certificado. Esto lo podr'as hacer verificando la huella > digital(fingerprint) dentro del certificado atrav'es de una serie de datos > tales como el tel'efono. Si deseas validar el certificado por ti mismo, te > recomendamos llamar a la organizaci'on para la cual el certificado fue > expedido y pidas la confirmaci'on de la huella digital(fingerprint) > del certificado. > > Es importante observar que esta clase de verificaci'on ser'a > 'unicamente efectiva si usted tiene medios independientes con los > cuales podr'a validar el certificado. Esta clase de validaci'on se llama > validaci'on out-of-band. Por ejemplo, llamar a un n'umero de tel'efono > proporcionado en el mismo sitio Web no proporciona a ninguna seguridad adicional. > > El CERT/CC y el ASC recomienda a todas las organizaciones que realizan comercio > electr'onico capacitar a su personal para que proporcione la ayuda > necesaria en la contestaci'on de preguntas subsecuentes a esta > vulnerabilidad relativos a la huella digital(fingerprint) de los > certificados. > > 3.- Rechazar Certificados que no concuerden con el nombre del servidor. > > Como un mecanismo de defensa contra esta vulnerabilidad, recomendamos no > aceptar certificados que no concuerden con el nombre del servidor. La > causa m'as probable de un error en el certificado del tipo no-non-matching > se debe a un error en la configuraci'on de parte del administrador del > sitio. Sin embargo, un usuario no puede distinguir entre una mala > configuraci'on y un ataque con otros fines. Aun si el usuario no provee > alguna informaci'on de tipo confidencial a un sitio con un certificado del > tipo "non-matching" el contestar "OK" al cuadro de di'alogo puede > permitir al intruso el poder llevar a cabo con 'exito su prop'osito. > > Recomendamos que est'e actualizado con las futuras versiones y parches de > dichos productos. > > , , , , , , , > * INFORMACION * > , , , , , , , > > Si deseas consultar 'este bolet'in en su formato original puedes consultar > la siguiente direcci'on : > > http://www.cert.org/advisories/CA-2000-08.html > > Para Mayor Informaci'on o Detalles de este bolet'in contactar a: > > > 'Area de Seguridad en C'omputo > DGSCA- UNAM > Tel : 56 22 81 69 > Fax : 56 22 80 43 > E-Mail : asc en conga super unam mx > http://www.asc.unam.mx/boletines > ftp://ftp.asc.unam.mx > > --- > Juan Carlos Guel L'opez > Area de Seguridad en C'omputo E-mail: asc en conga super unam mx > DGSCA, UNAM Tel.: 5622-81-69 Fax: 5622-80-43 > Circuito Exterior, C. U. WWW: http://www.asc.unam.mx/ > 04510 Mexico D. F. PGP: finger asc en ds5000 super unam mx -----BEGIN PGP SIGNATURE----- Version: PGP 6.5.1i iQEVAwUBOTIrtT6HeEeO/+C1AQGD/wf8DqgafoEeSdb7OJDIG3gn5J3r/0u5oaFx zPLA7BbuQ+jcMcjv+L5Or35MwTNP5yTp5JkIiFSIzqYh2/p9I4A+TrRBqR/Lj+FG GMnYSkC6kl+xCxF63q1ZRpSQBMJKVH2+qGfUJrR82RJo/nu3fSwE4zdJswTU9ACU dr2RrXx5VB6c56mhRQ96U12wyqsTFnh12Gm0XcDsAzfgOSgM+vDbJ/Kgr4yxaxGg X1Z/y78o8BK7+WxcwO4yb6onYTMoiyg1WUDrGXEVF/gjQcejZwRZlIjWXHYNHcuS c7D0tktO6kjw94bBxosQXC5x4GIFwRVw0OzaCc2tQPZYare69gjcmQ== =ecj6 -----END PGP SIGNATURE----- -- Para desuscribirse, mande correo a: ayuda-unsubscribe en linux org mx Para comandos adicionales, envíelo a: ayuda-help en linux org mx