Atacan Twitter por un fallo SSL

La semana pasada, Anil Kurmus demostró cómo un fallo en el protocolo SSL, Secure Sockets Layer, podía utilizarse para engañar a las víctimas a la hora de enviar mensajes de Twitter que contendrían información sobre sus contraseñas. Para que el citado fallo fuera explotado, los hackers debían encontrar primero un modo de acceder a la red de la víctima, lanzando lo que se conoce como un ataque man-in-the middle, de modo que sería difícil afectar a un gran número de usuarios de Twitter con esta técnica. Este problema fue rápidamente solucionado por Twitter, pero diferentes expertos en seguridad se siguen planteando cuántas páginas Web podrían sufrir un problema similar.

Un consorcio de compañías de Internet se ha unido para resolver este problema desde el pasado 5 de noviembre, cuando fue hecho público de manera inadvertida en una lista de discusiones. Pero lo cierto es que, desde entonces, se han producido diferentes debates sobre el alcance del problema. Poco tiempo después de que fuera hecho público, el investigador de seguridad de IBM, Tom Cross, afirmó que las principales aplicaciones web no se verían afectadas por el mismo. Sin embargo, Cross cambió de opinión al escribir “desafortunadamente, la situación es peor de lo que yo pensaba”.

Las aplicaciones de correo electrónico podrían también correr peligro. Y los expertos en seguridad han mostrado su preocupación por otras aplicaciones como las bases de datos, por ejemplo.

Twitter.com fue vulnerable al ataque porque hacía lo que se conoce como renegociación de cliente bajo SSL. Esto proporciona a la página web un modo de pedir al usuario de Twitter un certificado SSL una vez que el usuario se haya conectado a la Web. Se trata de una herramienta muy útil para páginas que permiten a los usuarios conectarse utilizando tarjetas inteligentes o en páginas que restringen el acceso a un grupo selecto de internautas predefinidos. Sin embargo, hasta que el fallo esté resuelto, la renegociación de clientes también abre la puerta a los ataques SSL.

Todo parece indicar que hay muchas páginas Web como Twitter que permiten la renegociación de clientes simplemente porque está integrada en el protocolo SSL y en su sucesor, TLS (Transport Layer Security).

Las buenas noticias son que muchas páginas pueden deshabilitarlo simplemente, que es, aparentemente, lo que han hecho en Twitter, aunque no han querido hacer declaraciones al respecto. Según Ray, la gente debería darse cuenta de que, aunque el fallo SSL no es catastrófico, “es un serio problema y es necesario resolverlo”.