Bolet'in Seguridad 2000-006

Area de Seguridad en Computo asc en conga.super.unam.mx
Lun Mayo 29 03:34:47 CDT 2000


-----BEGIN PGP SIGNED MESSAGE-----


> . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
>  
>                    'Area de Seguridad en C'omputo
> 
>                            DGSCA- UNAM
> 
>                   Bolet'in de Seguridad 2000-006
> 
>         Inconsistencia en los Mensajes del programa Netscape
> . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
> 
> En las 'ultimas horas se detect'o una falla  dentro del programa Netscape
> Navigator que permite a un intruso poder hacer pasar como un sitio web
> v'alido y de esta forma comprometer la validez de la informaci'on
> contenida en el DNS(Domain Name Service). Este Problema es completamente
> diferente al reportado en el Bolet'in ASC 2000-003 
> (http://www.asc.unam.mx/boletines/boletin-asc-00003-2000), pero presenta 
> un impacto similar.
> 
> Si un usuario visita un sitio web dentro del cual el nombre del
> certificado no coincida con el nombre del sitio y continua la conexi'on,
> netscape despliega el mensaje de advertencia de la no validaci'on del
> certificado, posteriormente las conexiones realizadas por sitios v'alidos
> con el mismo certificado no les ser'a mostrarado el mensaje de
> advertencia.
> 
> Cabr'ia sen~alar que esta Vulnerabilidad y la descrita en el Boletin ASC
> 2000-003(http://www.asc.unam.mx/boletines/boletin-asc-00003-2000) No 
> representan una vulnerabilidad en el programa SSL(Secure Socket Layer). En
> algunas ocasiones, estos problemas son debidos a configuraci'on de 
> sistemas DNS inseguros, combinados con una vulnerabilidad en los
> Navegadores al hacer la verificaci'on.
> 
> El navegador Netscape y algunos otros toman las medidas pertinentes para
> prevenir a los usuarios cuando la informaci'on recibida del DNS parece
> sospechosa. El navegador no verifica todas las conexiones
> que realiza el usuario, por lo que no asegura que el usuario se conecte al
> lugar deseado. De forma adicional el CERT/CC y el 'Area de Seguridad en
> C'omputo de la UNAM recomienda validar los certificados antes de manejar
> transacciones que puedan contener informaci'on Confidencial y sensible que
> viaje atrav'es de la red.
> 
> , , , , , , , , , , , , , , ,
> * Sistemas Afectados        *
> , , , , , , , , , , , , , , ,
> 
>  Todos los sistemas que ejectutan Netscape Navigator, incluso las
> verisones m'as recientes 4.73 y posteriores.
> 
> 
>  	Fecha de Detecci'on en los EU  : Mayo 26 del 2000
>         Fecha de Notificaci'on         : Mayo 27 del 2000  
>         'Ultima Revisi'on              : Mayo 27 del 2000
>         Sistemas Afectados             : Netscape en todas 
> 					 sus versiones, incluyendo las
> 					 'ultimas versiones 4.73 y
> 					 posteriores, sin el Personal
> 					 Manager Security instalado.
> 
> , , , , , , , , , , , , , , , 
> * Descripci'on del Problema *
> , , , , , , , , , , , , , , , 
> 
> Los certificados digitales son pequen~os documentos usados para autenticar
> y cifrar informaci'on transmitida atrav'es del Internet. Una de las formas
>  m'as usadas de los certificados digitales es el hacer seguras las
> transacciones del comercio electr'onico atarves del uso del SSL. Este tipo
> de certificados son usados en las transacciones del comercio electr'onico
> y son com'unmente llamados certificados X.509. Los certificados X.509 ayudan a los
> navegadores y a los usuarios a verificar que cualquier informaci'on
> sensitiva transmitida atrav'es del Internet es 'unicamente le'ida s'olo
> por las personas que el usuario desea. 'Esto requiere que el emisor 
> verifique su identidad  y cifre los datos que ser'an transmitidos en dicha
> negociaci'on para que el receptor los pueda descifrar.
> 
> El icono de la llave conocido como "padlock" localizado en la esquina
> inferior izquierda en los navegadores como Netscape, Internet Explorer y
> otros, nos indican que en ese momento una transacci'on segura del tipo SSL
> est'a comenzand'o. Esto no necesariamente nos indica que dicha conexion se
> haya establecido. Netscape y algunos otros navegadores despliegan una
> variedad de mensajes tratando de prevenir y notificar a los usuarios
> cuando la informaci'on contenida dentro de los DNS no concuerda 'o
> presenta alg'una anomal'ia comparada con la informaci'on contenida dentro
> de los certificados  X.509 usados en las transacciones SSL. Dichos
> mensajes de advertencia son informaci'on adicional hacia los usuarios para
> ayudarlos a decidir si desean realizar la conexi'on a'un sin verificar los
> sitios a los cuales ellos establecen una conexi'on.
> Estos mensajes y pasos subsecuentes fueron disen~ados para proteger a los
> equipos de los ataques del tippo de robo de informaci'on del DNS o' de los
> del tipo  DNS spoofing.
> 
> Una breve descipci'on del problema al presentarse estos casos es :
> 
> Dentro de una sesi'on del netscape si un usuario oprime la tecla
> "Continue" como una respuesta al mensaje de error "hostname does not match
> name in certificate", dicho certificado es validado de forma incorrecta
> para su uso posterior dentro de la sesi'on del Netscape, proporcion'ando
> el nombre del equipo, direcci'on IP, provocando que otros equipos que
> usan el mismo certificado no lo puedan realizar.
> 
> Por ejemplo, supongamos que un intruso construye un sitio web llamado
> example.com, autenticado por un certificado que no concuerda con el
> example.com, y convence a la v'ictima de navegar ah'i. Netscape
> desplegar'a un mensaje indicando que el sitio al cual el usuario intenta
> establecer comunicaci'on no concuerda con la informaci'on contenida dentro
> del certificado. Si el usuario no tiene intenci'on alguna de
> proporcionar informaci'on de tipo confidencial a www.example.com podr'a 
> elegir la opci'on de continuar (con s'olo apretar el bot'on "OK"),
> creyendo que existe una mala configuraci'on del lado del sitio example.com
> o que se debe a una falla en los cuadros de dialogo interno.
> 
> Bajo las siguientes circusntancias no se presentar'an mensajes de
> di'alogo en la misma sesi'on :
> 
> 	* Si el intruso modifica la informaci'on contenida dentro del DNS
> 	'o forza a 'este en alguna forma para poder validar la direcci'on
> 	IP del sitio original y que el DNS pueda resolver a la direcci'on
> 	IP del sistema deseado por el intruso(presumiblemente un
> 	sistema bajo su control).
> 
> 	* Si el sistema que se encuentra bajo control del intruso es
> 	autenticado usando el mismo certificado que www.example.com, con
> 	el cual el usuario previamente acept'o en los cuadros de di'alogo  
> 	mencionado en la parte superior.
> 
> 	* Si la v'ictima intenta conectarse al sitio Original( pero aun el
> 	sitio se encuentra direccionado al sito del intruso realizado 
> 	mediante redireccionamiento del DNS).
> 
> Esto permitir'a al intruso el poder desviar la verificaci'on "Sanity
> checking" realizada por Netscape, y el resultado ser'a que el usuario
> pueda proporcionar informaci'on confidencial y sensitiva al intruso.
> 
> 
>  , , , , , , , 
>  * IMPACTO   *
>  , , , , , , , 
> 
> Los Intrusos pueden engan~ar a los usuarios v'alidos dentro del
> sistema para obtener informaci'on confidencial(tal como n'umeros de la
> tarjeta de cr'edito, datos personales, u otra informaci'on sensible) que
> ser'a enviada a un sitio dentro del Internet legitimo, y lo podr'an hacer
> si el usuario ha validado previamente un certificado en el cual el nombre
> del registro dentro del certificado no corresponde con el nombre del DNS
> del sitio web al cual el usuario se est'a conectando.
> 
>  , , , , , , ,
>  * SOLUCION *
>  , , , , , , ,
> 
> 
> 1.- Verificaci'on de los Certificados 
> 
> 	El CERT/CC y el 'Area de Seguridad en C'omputo de la UNAM
> recomiendan que antes de proporcionar cualquier informaci'on
> confidencial atrav'es del SSL, se verifiquen los nombres de los registros
> dentro de los certificados para asegurarse que realmente se esta
> conectando al sitio que se desea. 
> 
> Por ejemplo, dentro de Netscape, verificar en el icono de la llave que
> indica una sesi'on segura ('icono de la llave, llamada "padlock") para
> poder continuar con el  mensaje de "security Info" en el cuadro de
> di'alogo. Enseguida seleccionar la opci'on "View Certificate". Un mensaje  
> aparecer'a listando la autoridad certificadora que firmo dicho certificado
> y que lo expedi'o, as'i como el servidor al cual fue registrado. Si no
> conf'ias en las autoridades certificadoras 'o si el nombre del servidor no
> concuerda con el del sitio al cual se est'a conectando, te recomendamos
> verificarlo hasta que desaparezcan tus dudas.
> 
> 
> 2.- Validar Certificados de Forma Independiente
> 
> Los navegadores vienen configurados para confiar en una gran variedad de
> autoridades Certificadoras. Si borras los certificados de todas las
> autoridades cetificadoras en tu navegador, cada vez que encuentres un
> nuevo certificado SSL, se te desplegar'a un mensaje indic'andote si deseas
> validar dicho certificado. Esto lo podr'as hacer verificando la huella
> digital(fingerprint) dentro del certificado atrav'es de una serie de datos
> tales como el tel'efono. Si deseas validar el certificado por ti mismo, te
> recomendamos llamar  a la organizaci'on para la cual el certificado fue
> expedido y  pidas la confirmaci'on de la huella digital(fingerprint)
> del certificado. 
> 
> Es  importante observar que esta clase de verificaci'on ser'a
> 'unicamente efectiva si usted tiene medios independientes con los
> cuales podr'a validar el certificado. Esta clase de validaci'on se llama
> validaci'on out-of-band. Por ejemplo, llamar a un n'umero de tel'efono 
> proporcionado en el mismo sitio Web no proporciona a ninguna seguridad adicional. 
> 
> El CERT/CC  y el ASC recomienda a todas las organizaciones que realizan comercio
> electr'onico capacitar a su personal para que proporcione la ayuda
> necesaria en la contestaci'on de preguntas subsecuentes a esta
> vulnerabilidad relativos a  la huella digital(fingerprint) de los
> certificados.
> 
> 3.- Rechazar Certificados que no concuerden con el nombre del servidor.
> 
> Como un mecanismo de defensa contra esta vulnerabilidad, recomendamos no
> aceptar certificados que no concuerden con el nombre del servidor. La
> causa m'as probable de un error en el certificado del tipo no-non-matching
> se debe a un error en la configuraci'on de parte del administrador del
> sitio. Sin embargo, un usuario no puede distinguir entre una mala
> configuraci'on y un ataque con otros fines. Aun si el usuario no provee
> alguna informaci'on de tipo confidencial a un sitio con un certificado del
> tipo "non-matching"  el contestar "OK" al cuadro de di'alogo puede
> permitir al intruso el poder llevar a cabo con 'exito su prop'osito.
> 
> Recomendamos que est'e actualizado con las futuras versiones y parches de
> dichos productos.
> 
>  , , , , , , , 
>  * INFORMACION *
>  , , , , , , , 
> 
> Si deseas consultar 'este bolet'in en su formato original puedes consultar
> la siguiente direcci'on :
> 
> http://www.cert.org/advisories/CA-2000-08.html
> 
> Para Mayor Informaci'on o Detalles de este bolet'in contactar a:
> 
>  
>                 'Area de Seguridad en C'omputo
>                 DGSCA- UNAM
>                 Tel : 56 22 81 69
>                 Fax : 56 22 80 43
>                 E-Mail : asc en conga.super.unam.mx 
>                 http://www.asc.unam.mx/boletines
> 		ftp://ftp.asc.unam.mx
> 
> ---
> Juan Carlos Guel L'opez
> Area de Seguridad en C'omputo   E-mail: asc en conga.super.unam.mx
> DGSCA, UNAM                     Tel.: 5622-81-69  Fax: 5622-80-43
> Circuito Exterior, C. U.        WWW: http://www.asc.unam.mx/
> 04510 Mexico D. F.              PGP: finger asc en ds5000.super.unam.mx 









-----BEGIN PGP SIGNATURE-----
Version: PGP 6.5.1i

iQEVAwUBOTIrtT6HeEeO/+C1AQGD/wf8DqgafoEeSdb7OJDIG3gn5J3r/0u5oaFx
zPLA7BbuQ+jcMcjv+L5Or35MwTNP5yTp5JkIiFSIzqYh2/p9I4A+TrRBqR/Lj+FG
GMnYSkC6kl+xCxF63q1ZRpSQBMJKVH2+qGfUJrR82RJo/nu3fSwE4zdJswTU9ACU
dr2RrXx5VB6c56mhRQ96U12wyqsTFnh12Gm0XcDsAzfgOSgM+vDbJ/Kgr4yxaxGg
X1Z/y78o8BK7+WxcwO4yb6onYTMoiyg1WUDrGXEVF/gjQcejZwRZlIjWXHYNHcuS
c7D0tktO6kjw94bBxosQXC5x4GIFwRVw0OzaCc2tQPZYare69gjcmQ==
=ecj6
-----END PGP SIGNATURE-----



-- 
Para desuscribirse, mande correo a: ayuda-unsubscribe en linux.org.mx
Para comandos adicionales, envíelo a: ayuda-help en linux.org.mx




Más información sobre la lista de distribución Ayuda