jueves, 13 de febrero de 2014

Ojo Con Los Certificados SSL Falsos

Muchas veces he hablado con mis amigos sobre los peligros que hay al comprar un articulo en una pagina que no sea de confianza o sin el pertinente certificado SSL. Seria una locura no hacerlo, pero nunca caigo a explicarles que un certificado SSL puede ser falsificado y que deberían examinar ese certificado cada vez que quieran corroborar su seguridad. (Tampoco es tan seguro como quisiéramos todos, pero menos da una piedra.)



Este sistema de certificaciones es muy utilizado y no solo esta relacionado con las webs sino que cualquier software que haga una conexión a Internet puede elegir que esta conexión sea segura. De esta manera no tenemos que controlar solo el Https típico sino,  todos los certificados que recibe nuestro equipo cuando realiza peticiones a la red. 

Si extrapolamos esto a equipos mas pequeños como los smartphones y sus aplicaciones el resultado es el siguiente: 
"Las aplicaciones de banca en línea para dispositivos móviles son tentadores objetivos para ataques man-in-the-middle, como la validación de certificados SSL está lejos de ser trivial, y aplicaciones móviles a menudo no alcanzan el nivel de la validación realizada por los navegadores web. 40% de iOS- aplicaciones bancarias basadas probados por IO activa son vulnerables a este tipo de ataques porque no pueden validar la autenticidad de los certificados SSL presentadas por el servidor. 41% de las apps Android seleccionados resultaron ser vulnerables en las pruebas manuales de la Universidad Leibniz de Hannover y de la Universidad Philipps de Marburg en Alemania. Ambas aplicaciones y navegadores también pueden ser vulnerables si un usuario puede ser engañado para instalar certificados raíz sin escrúpulos a través de ingeniería social o de los ataques de malware, aunque este tipo de ataque está lejos de ser trivial en un iPhone. " Netcraft dijeron los investigadores."
Así que, solo mirar el certificado de una web nos dejaría medio expuesto a todos los demas factores de risgo.  (Seria como utilizar TOR cuando otro esta mirando tu pantalla sentado en la mesa de atrás)

No me lo tengáis en cuenta pero es que venia muy al hilo xD

Fuente: 
Sed Buenos ;) y que no os vea yo sin comprobar estos certificados. xD


No hay comentarios:

Publicar un comentario