Visitar un sitio certificado con un certificado SSL no significa que el sitio no sea falso. Secure Socket Layer (SSL) protege a los usuarios de dos formas, usa la clave pública de cifrado para cifrar información sensible entre la computadora del usuario y el sitio web, tal como usuarios, contraseñas, números de tarjeta de crédito, y también verifica la identidad de los sitios web.

Los hackers y ciber-criminales de hoy en día están usando toda treta para robar credenciales de usuario y otros datos sensibles inyectando certificados SSL falsos a los sitios impostores que se hacen pasar por medios sociales, comercio electrónico, y también sitios web financieros.

Amplia Detección de Certificados Digitales Falsos

Un grupo de investigadores, Lin – Shung Huang, Alex Ricey , Erling Ellingseny y Collin Jackson, de la Universidad Carnegie Mellon en colaboración con Facebook han analizado [PDF] más de 3 millones de conexiones SSL y encontraron una fuerte evidencia de que al menos 6.845 (0,2 %) de ellos estaban de hecho manipulados con certificados falsificados, por ejemplo, certificados digitales auto-firmados que no estaban autorizados por los dueños legítimos de los sitios web, pero que serían aceptables como válidos por la mayoría de los navegadores.

Utilizaron un plug-in Flash Player ampliamente soportado para habilitar la funcionalidad socket e implementaron una validación parcial de enlace SSL para capturar certificados falsificados y desplegaron este mecanismo de detección en el sitio web Alexa top 10, de Facebook, que finaliza las conexiones mediante un conjunto diverso de operadores de redes de todo el mundo.

En general los navegadores web modernos muestran un mensaje de advertencia cuando se enfrentan a errores durante la validación de certificados SSL, pero la página de advertencia permite a los usuarios cotinuar adelante con una conexión potencialmente insegura.

Las conexiones SSL falsas pueden argumentar que las advertencias sobre los certificados son causadas principalmente por errores en la configuración del servidor. De acuerdo a una encuesta de usabilidad, muchos usuarios ignoran las advertencias sobre el certificado y confíar en certificados falsificados los podría hacer vulnerables a los más simples ataques de intercepción SSL.

Esto significa que un potencial atacante podría impersonar exitosamente cualquier sitio web, incluso para conexiones HTTPS, para realizar un ataque ManInTheMiddle SSL para poder interceptar la conexión cifrada.

Certificados Digitales Falsos Firmads con claves robadas un antivirus

Los investigadores observaron que la mayoría de los certificados SSL falsificados están usando el mismo nombre que las organizaciones emisoras de Certificados Digitales tales como VeriSign y Comodo.

Algunos software antivirus como Bitdefender, ESET, BullGuard, Kaspersky Lab, Nordnet, DefenderPro etc., tienen la capacidad de interceptar y escanear las conexiones SSL en los sistemas clientes para defender a sus usuarios de conexiones SSL falsas. Esos productos antivirus generan sus propios certificados que seran menos alarmantes que otros certificados digitales auto-firmados.

“Uno debería tener cuidado de los atacantes profesionales que podrían ser capaces de robar las claves privadas de los certificados firmantes de los proveedores de antivirus, lo cual esencialmente les permitiría espiar a los usuarios de antivirus (ya que el certificado raiz del antivirus sería confiable para el cliente), ” explican los investigadores. “Hipotéticamente, los gobiernos podrían forzar a los proveedores de antivirus a entregarles sus claves de firmado.”

Capacidades similares se observaron en varios Firewall, programas de control parental y software de publicidad que podría ser comprometido por atacantes para generar certificados digitales válido pero falsos.

Certificados Digitales Generados por Malware

Los investigadores también se dieron cuenta de otro interesante certificado auto-firmado, denominado ‘IopFailZeroAccessCreate’, el cual fue generado por algún malware en un sistema del lado cliente y usando el mismo nombre del emisor confiable de certificado “VeriSign Class 4 Public Primary CA.“

“Esas variante proveen evidencia clara que los atacantes están generando certificados con atributos falsificados, e incluso aumentando su sofisticación durante el lapso de tiempo que duró nuestro estudio,” dijeron

Las estadísticas detectadas muestran que los clientes infectados con el mismo malware que sirve los certificados digitales falsos ‘IopFailZeroAccessCreate’estaba disperso por 45 países distintos, incluyendo México, Argentina y Estados Unidos.

Investigadores de malware en Facebook, en colaboración con el equipo de Microsoft Security Essentials, fueron capaces de confirmar estas sospechas e identificar la familia específica del malware responsable de este ataque.

Técnicas de migración de detección y ataque

Los atacantes también pueden restringir los sockets basados en Flash bloqueando la política de tráfico de socket Flash en el puerto 843 o pueden evitar interceptar conexiones SSL hechas por el Flash Player para eludir las técnicas de detección usadas por los investigadores. Para contrarrestar esto, los sitios web podrían servir archivos de política de sockets por puertos amigables (80 o 443), multiplexando el tráfico web y las peticiones de política de sockets en sus servidores. 

Adicionalmente los investigadores discutieron técnicas de migración en el trabajo, tales como HTTP Strict Transport Security (HSTS), Public Key Pinning Extension for HTTP (HPKP), TLS Origin-Bound Certidificates (TLS-OBC), Validación de Certificados con Escribanos y Autenticación de Nomre de Entidades basado en DNS (DANE), esos que pueden ser usados por los servidores para forzar HTTPS y validar los certificados digitales.

Como eliminar el Malware

Si tambien está infectado por cualquier malware similar, por favor siga las indicaciones de abajo para eliminarlo:

• Verifique que su archivo hosts (C:\Windows\System32\Drivers\etc\hosts) no tenga entradas maliciosas
• Verifique los ajustes de su DNS (Domain Name Server) en los sistemas y en el modem ADSL.
• Verifique los ajustes de su proxy en el navegador
• Compruebe los complementos instalados en el navegador
• Instale un producto antivirus y Firewall reconocido y escanee en busca de archivos maliciosos

Traducción: Raúl Batista – Segu-Info
Autor: Swati Khandelwal
Fuente: The Hacker News – See more at: http://blog.segu-info.com.ar/#sthash.SAdHDHPO.dpuf

Según la consultora IDC, el 61% de los ordenadores con ‘software’ pirata está infectado por software malicioso (‘malware’) y el 27% de los trabajadores instala ‘software’ de todo tipo en sus dispositivos sin la supervisión de sus compañías. 

Microsoft ha hecho públicos los resultados del estudio realizado por la consultora IDC y la Universidad Nacional de Singapur, que estima que en 2014 las empresas gastarán cerca de 491.000 millones de dólares por problemas de seguridad asociados a la presencia de software malicioso (malware) presente en software pirateado.

La precisión y meticulosidad de los ataques a través de la web no han dejado de evolucionar rápidamente mediante técnicas cada vez más avanzadas y peligrosas. Por este motivo es muy importante que los usuarios y compañías dispongan de software auténtico en sus equipos, que les permita prevenir y evitar pérdidas económicas y daños en su imagen. Entre las principales conclusiones que se desprenden del estudio, realizado por IDC y la Universidad Nacional de Singapur a nivel mundial, destacan:

• Los consumidores y las empresas tienen una posibilidad entre tres de tener que enfrentarse a la presencia en sus sistemas de malware, asociado a la instalación de software pirata en sus equipos o a través de la compra de PCs con software pirata preinstalado.
• IDC estima que en 2014 las empresas gastarán cerca de 491.000 millones de dólares debido al malware presente en el software pirateado, que incluye: 127.000 millones de dólares para gestionar problemas de seguridad y 364.000 millones de dólares para gestionar la exposición de datos privados y brechas de seguridad.
• Un 30% de las personas que reconocen usar software pirata apunta que sufren problemas de seguridad.

“Los ciberdelincuentes aprovechan la más mínima debilidad, en lo que a términos de seguridad se refiere, y esto tiene graves consecuencias económicas”, ha asegurado David Finn, director del Centro de Ciberdelincuencia (Cybercrime Center) de Microsoft. “Se han descubierto nuevas formas de utilizar las redes de ordenadores para cualquier tipo de robo: identidad, contraseña, dinero, etc. Por este motivo el Cybercrime Center de Microsoft trabaja diariamente para poner fin a estas situaciones y mantener a salvo y segura la información personal y financiera de nuestros clientes.”

El estudio de IDC y la Universidad Nacional de Singapur insiste una vez más en los peligros de las descargas y las compras de software no legítimo, ya que expone a los dispositivos a programas espía, malware y virus, que pueden conducir al robo de identidad, pérdida de datos o a causar graves fallos en los sistemas.

“Usar software pirata es como caminar por un campo de minas, nunca sabes cuando puede ‘estallar’ el problema y provocar un desastre”, ha afirmado John Gantz, jefe de investigación de IDC. “Los riesgos financieros son considerables y las pérdidas potenciales pueden conducir a grandes empresas a sufrir graves problemas. Comprar software legítimo resulta ser menos costoso en el largo plazo, ya que proporciona seguridad para evitar “sorpresas” en forma de software malicioso no deseado”.

El análisis forense, realizado por la Universidad Nacional de Singapur en 203 ordenadores nuevos a los que se les instaló software pirata, detectó que el 61 por ciento de los equipos se encontraba infectado por troyanos, gusanos, virus, rootkits o adware. Además, la investigación de IDC detectó que el 27 por ciento de los trabajadores encuestados instala habitualmente software en los dispositivos de sus empresas sin el conocimiento ni la supervisión de éstas, lo que incrementa el riesgo de infección por malware en los sistemas corporativos.

Fuente: Red Seguridad

Mozilla planea hacer cumplir más estrictamente las mejores prácticas del sector en certificados SSL en sus próximas versiones de Firefox, a través de un nuevo sistema de verificación de certificados. El nuevo sistema será implementado como librería, llamada“mozilla::pkix”. Comenzará a utilizarse en Firefox 31, previsto para julio.

Muchos de los cambios en la verificación de certificados de esta nueva librería son sutiles y están relacionados con los requisitos técnicos establecidos por la organización que reúne a las autoridades de certificación y proveedores de navegadores web. Sin embargo, algunos también se derivan de los cambios de su propia política de seguridad de certificados CA de confianza.

Con la nueva librería de seguridad, Mozilla reforzará y mejorará su sistema de validación de la integridad de los certificados de seguridad utilizados para una sesión SSL para prevenir el uso indebido de CA subordinados (sub-CA) o certificados intermedios, que pueden utilizarse para emitir certificados SSL a cualquier dominio en Internet.

En febrero de 2012, Trustwave, una de las entidades emisoras de certificados de confianza para navegadores, admitió públicamente que había emitido un certificado sub-CA para que terceras empresas pudieran inspeccionar el tráfico SSL que pasa a través de sus redes corporativas. Mozilla dijo en ese momento que el uso de certificados sub-CA para vigilancia del tráfico SSL, incluso en redes corporativas cerradas, es inaceptable.

En enero de 2013 ocurrió otro incidente, cuando un certificado en estado sub-CA fue emitido por Turktrust, la autoridad de certificación de navegadores de Turquía, y se instaló en un dispositivo cortafuegos, con capacidad de monitorizar tráfico SSL por parte de la autoridad municipal de Ankara.

Turktrust aseguró que el certificado en cuestión era uno de los dos que había emitido por error, con status sub-CA, cuando se suponía que eran certificados de CA raíz normales.

Un mes más tarde, Mozilla cambió su política con respecto a CA y exigió a todos los certificados sub-CA que se limitaran técnicamente a nombres de dominio concretos, utilizando extensiones de certificado, o serían públicamente desvelados y auditados como certificados CA normales.

La librería de verificación de certificados mozilla::pkix empezará a ejecutar esos cambios de política en Mozilla, que pretende reforzar la seguridad dentro de su navegador.

Aunque probablemente la mayoría de los usuarios de Firefox no perciban nada, algunos sitios web HTTPS podrían tener problemas. “Si bien hemos realizado numerosas pruebas de compatibilidad, es posible que su certificado de sitio web ya no sea válido con Firefox 31”, reconoce el equipo de ingeniería de Mozilla. Pero la compañía asegura también que “esto no debería ser un problema, si se utiliza un certificado emitido por una de las entidades emisoras de certificados del Programa CA de Mozilla, porque ya emiten certificados de acuerdo con esta nueva política de certificación”.

Mozilla también ha creado un nuevo programa de recompensas, por el cual concederá 10.000 dólares a quien detecte e informe de cualquier fallo de seguridad crítico encontrado en el código de la nueva librería antes de finales de junio.

Fuente: PCWorld