elhacker.net cabecera Bienvenido(a), Visitante. Por favor Ingresar o Registrarse
¿Perdiste tu email de activación?.

 

 


Tema destacado: ¿Eres nuevo? ¿Tienes dudas acerca del funcionamiento de la comunidad? Lee las Reglas Generales


+  Foro de elhacker.net
|-+  Foros Generales
| |-+  Foro Libre
| | |-+  Noticias (Moderadores: wolfbcn, El_Andaluz)
| | | |-+  Nuevos certificados fraudulentos para google.com y otros dominios
0 Usuarios y 1 Visitante están viendo este tema.
Páginas: [1] Ir Abajo Respuesta Imprimir
Autor Tema: Nuevos certificados fraudulentos para google.com y otros dominios  (Leído 1,548 veces)
wolfbcn
Moderador
***
Desconectado Desconectado

Mensajes: 53.662



Ver Perfil WWW
Nuevos certificados fraudulentos para google.com y otros dominios
« en: 8 Enero 2013, 17:24 pm »

Se ha detectado otro certificado fraudulento que pretende legitimar páginas falsas de google.com (aunque podría hacerlo de otras). Una entidad de confianza ha firmado un certificado falso, lo que permite que se suplanten las páginas del buscador o que el tráfico cifrado en realidad sea visto por un tercero.

Lo que ha ocurrido (otra vez) es que se ha firmado un certificado falso para dominios de Google con certificados intermedios emitidos por la empresa turca TurkTrust. Al parecer, en agosto de 2011, TurkTrust emitió y facilitó a un tercero dos certificados intermedios, en vez de los finales. Esto permitió a los receptores firmar certificados para cualquier dominio, circunstancia que parece que han aprovechado para firmar uno de *.google.com entre otros. Si de alguna forma, el atacante consigue redirigir a la víctima a otro servidor envenenando sus DNS o con cualquier otro método, llegará a un servidor falso que el navegador mostrará válido por SSL.
 
Esta es prácticamente la misma situación que ocurrió con Comodo y Diginotar en 2011.
 
En esta ocasión han sido tres los certificados revocados. Dos destinados a firmar, y uno final destinado a suplantar los dominios. Si nos fijamos en los certificados revocados en el sistema, ya son dos los destinados a suplantar a Google (uno revocado en marzo de 2011 y otro ahora). Parece que cuando un atacante tiene la posibilidad de firmar dominios populares, se decanta por el buscador.
 
Lo curioso de este último certificado es su lista de Subject Alternative Names (o "nombre alternativo del titular"). Este es un campo del estándar X.509 que, aunque disponible desde 1999 no es excesivamente común. Los SAN permiten que los certificados sean válidos para varios dominios. Algo parecido a los comodines o "wildcards" pero que va más allá haciendo que un solo certificado sea válido para dominios totalmente diferentes. Así, el navegador, cuando valida un certificado contra un dominio se fija en el CN (common name) del certificado, en si valida con un comodín ("wilcard") y por último si valida en su lista de SAN.
 
En este certificado, observamos que se ha creado con el fin de ser válido para toda esta lista:
 
*.google.com, *.android.com, *.appengine.google.com, *.cloud.google.com, *.google-analytics.com, *.google.ca *.google.cl, *.google.co.in, *.google.co.jp, *.google.co.uk, *.google.com.ar, *.google.com.au, *.google.com.br, *.google.com.co, *.google.com.mx, *.google.com.tr, *.google.com.vn, *.google.de, *.google.es, *.google.fr, *.google.hu, *.google.it, *.google.nl, *.google.pl, *.google.pt, *.googleapis.cn, *.googlecommerce.com, *.gstatic.com, *.urchin.com, *.url.google.com, *.youtube-nocookie.com, *.youtube.com, *.ytimg.com, android.com, g.co, goo.gl, google-analytics.com, google.com, googlecommerce.com, urchin.com, youtu.be, youtube.com
 
Y después ha sido firmado con el certificado de TurkTrust para darle validez.
 
Microsoft ha publicado la actualización correspondiente para la revocación de certificados en toda la familia Windows, mediante el KB 2798897 disponible a través de Windows Update o los canales oficiales de descarga. El resto de navegadores han actualizado sus listas de revocación para bloquear los certificados.
 
Más información:
 
Revoking Trust in Two TurkTrust Certificates https://blog.mozilla.org/security/2013/01/03/revoking-trust-in-two-turktrust-certficates/
 
TURKTRUST - Fraudulent digital certificates could allow spoofing = DigiNotar - The Sequel? http://www.cupfighter.net/index.php/2013/01/turktrust-fraudulent-digital-certificates-could-allow-spoofing-diginotar-the-sequel/

FUENTE : http://www.laflecha.net/canales/seguridad/noticias/nuevos-certificados-fraudulentos-para-googlecom-y-otros-dominios


En línea

La mayoria pedimos consejo cuando sabemos la respuesta, pero queremos que nos den otra.
Páginas: [1] Ir Arriba Respuesta Imprimir 

Ir a:  

WAP2 - Aviso Legal - Powered by SMF 1.1.21 | SMF © 2006-2008, Simple Machines