¿Se le cae el cielo a SSL?

Con titulares como este: “Nuevo ataque cibernético pone en riesgo la información financiera – los expertos afirman que la nueva amenaza podría afectar a millones de sitios”, se podría pensar que el modelo de confianza de Internet se ha desmoronado.

Tras una larga espera el viernes por la noche, por fin salió el demo Ekoparty para el hackeo del SSL. Y resultó muy interesante que el ataque haya logrado quebrar el modelo de confidencialidad del SSL, tal y como quedó demostrado con su ejecución en el navegador Mozilla Firefox al comunicarse con los servidores de internet de paypal.com mediante el protocolo https. Además, parecía solo un exploit poco práctico dirigido a una debilidad que se reparó hace tres meses en el código fuente de Chromium.

Asimismo, vale la pena remarcar que aunque el ataque es muy conocido desde hace casi 10 años, no se contaba aún con un exploit adecuado que lo implementara. También hay que subrayar que su ataque por bloques fue mucho más refinado y efectivo que los anteriores modelos de texto simple.

Entonces, los usuarios particularmente preocupados por su seguridad parecen tener otra buena razón para usar el navegador Google Chrome. También fueron llamativos algunos de los trucos que se usaron. Si bien no se pudo lograr su funcionamiento sólo con javascript o flash, se implementó el exploit en un applet de Java y se atacó el flujo entre Firefox y https://paypal.com. Los “trucos” que se usaron para evitar la “Same Origin Policy” con Java fueron sorprendentes y lograron robar las cookies de toda la sesión que usaron para ingresar a paypal.com como la víctima en http en menos de tres minutos. Aunque estoy seguro que los otros fabricantes de navegadores actualizarán sus rutinas de codificación CBC para una mejor aleatoriedad en su IV y contener este ataque, tal como se sugirió hace 10 años, sería mejor usar Chrome para garantizar comunicaciones seguras en lo que respecta a este exploit. En mi opinión, este exploit es de bajo riesgo porque no es práctico. No estoy seguro si se divulgó oportunamente el trabajo entre todos los fabricantes de navegadores, lo que habría dado a los desarrolladores tiempo más que suficiente para prepararse, pero sí sé que al menos se avisó al equipo de Chrome. Sin duda se trata de una interesante investigación y de un impresionante esfuerzo para implementar un concepto tan difícil de abordar. Estos tipos sí que saben de criptografía y de tecnologías de comunicación. Pero el cielo no se ha caído. Todavía.

Para más información técnica sobre este tema e ideas de prominentes desarrolladores e investigadores, puedes visitar mi lista de vínculos relacionados, en el lado derecho de este texto. He tratado de ser muy riguroso con esta selección.

ÚLTIMAS NOTICIAS DEL 26 DE SEPTIEMBRE DE 2011:

Microsoft informa que está investigando si la vulnerabilidad afecta los usuarios de Internet Explorer, pero recalcando que el problema es de bajo riesgo: “Considerando el escenario del ataque, no consideramos que esta vulnerabilidad sea de alto riesgo para nuestros clientes”. Al parecer, es uno de los vendedores de software que no han registrado incidencias de la vulnerabilidad en sus clientes.