Certificado SSL Falso suplanta a Paypal

No uso Paypal nunca más

Publicado el 06/10/09 a las 8:25 pm por F. Figueroa Fagandini

La metáfora obvia del día

Hace pocas semanas, en la conferencia Defcon 17, Moxie Marlinspike presentó una prueba de concepto en donde construía un certificado SSL null-prefix, que pese a ser completamente falso era reconocido como auténtico gracias a una falla en un componente de Windows (CryptoAPI ) usado por Internet Explorer, Google Chrome y Safari para Windows. Nueve semanas después Microsoft no ha sacado un parche para el problema, y la prueba de concepto se ha materializado en un “producto” real, un certificado null-prefix SSL para Paypal.

Usando este certificado, un hacker podría suplantar en forma perfecta la página de Paypal y hacer pensar a la víctima que está transando con el conocido y confiable portal de pagos. Para que esto suciediera, claro, tendría que apoderarse al mismo tiempo de los DNS de la víctima para que al digitar www.paypal.com ésta llegase al sitio fraudulento montado para la ocasión.

Considerando que el ataque de envenenamiento de DNS ya existe, puede que sea aconsejable no tentar a la suerte y usar otro navegador para acceder a Paypal al menos hasta que Microsoft parche su CryptoAPI o se deseche de una vez la encriptación MD5 que desde el año pasado se sabe que no es segura para los certificados SSL.

Link: IE, Chrome, Safari duped by bogus PayPal SSL cert (The Register)

Publicado por F. Figueroa Fagandini el 6 de October 2009, con los tags certificado, chrome, colision, explorer, hacking, md5, microsoft, paypal, safari, secure socket layer, sha-2, ssl, windows en la categoría Noticias

Comenta este Artículo

Este artículo tiene 22 Comentarios. Deja tu Comentario!

Los Últimos comentarios del foro para esta noticia:

Alberto Ferro dijo el 2009-10-07 14:16:56:

Hola...

peluda la weada.. porque imaginate suplantar una pagina de ventas en linea, onda una tienda de tecnologia y cosas, nisiquiera tienes que saber quien es la persona a la que le estas robando, solo pones comprar y el link a paypal (falso por supuesto) y voala. peligrosi...

sektorcool dijo el 2009-10-07 14:22:43:

pero y por que no mejor implantar asi como esta ahora en chile el wep pay plus?'

osea aca en chile se puede hacer, onda tu vas compras en kaspersky.cl opr ejemplo

cuando colocas el numero de tarjeta de credito, colocas el cvv2, la fecha de caducidad y cuando concretas l...

LenguaNegra dijo el 2009-10-07 14:33:37:

Así es, acá en Chile es resegura la compra porque se requiere ingresar el digipass (en el caso de mi banco). Pero para internacionalizar este sistema todos los bancos deberían tener clave de coordenadas o digipass, lo cual no creo que sea así. Acá en chilito lo de la seguridad por tarjeta de...

UtherBoo dijo el 2009-10-07 21:38:11:

Por suerte solo uso Opera para ese tipo de transacciones

el que sabe dijo el 2009-10-08 16:08:15:

=O ta bueno saberlo, voi a suspender de momento mis compras online

Paypal suspendió cuenta de hacker que reveló agujero de seguridad : Blogografia dijo 2009-10-08 20:59:28:

[...] en línea de Paypal vio cómo el sistema de pagos por internet bloqueara su cuenta, después de que otro usuario liberara un certificado falso creado gracias a herramientas que el experto publicara en su [...]

Paypal suspendió cuenta de hacker que reveló agujero de seguridad « RSS2Blogs dijo 2009-10-08 22:19:27:

[...] en línea de Paypal, vio cómo el sistema de pagos por internet bloqueó su cuenta después de que otro usuario liberara un certificado falso creado gracias a herramientas que el experto había publicado en su [...]

Paypal suspendió cuenta de hacker que reveló agujero de seguridad | UR-VE.COM dijo 2009-10-09 09:38:17:

Paypal suspendió cuenta de hacker que reveló agujero de seguridad » SoyForense dijo 2009-10-15 14:54:21: