The Information Systems and Computer Applications examination covers material that is usually taught in an introductory college-level business information systems course.

Safari potencialmente vulnerable por robo de certificados digitales

Safari potencialmente vulnerable por robo de certificados digitales

Hace unos días un grupo de hackers logró obtener una serie de certificados digitales fraudulentos, correspondientes a sitios tan conocidos como Google, Yahoo, Skype o Live.com, atacando una empresa afiliada a Comodo, una de las compañías autorizadas para la expedición de dichos certificados. La intrusión fuerápidamente detectada y anulada y los certificados revocados. Sin embargo la firma de seguridad Intego afirma que el navegador Safari podría seguir en peligro debido a la forma en que se comprueba la validación de la identidad digital. No es probable que se produzcan ataques reales aprovechando esta vulnerabilidad, pero es posible protegerse con unos sencillos pasos.

Los certificados digitales sirven, como ya imaginareis, para verificar que al otro lado de una conexión segura realmente se encuentra nuestro banco, o la tienda de Apple, o Amazon. En Safari un certificado válido se muestra mediante un candado en la esquina superior derecha de la ventana y el nombre de la empresa en color verde en la barra de dirección. Con un certificado falso sería posible, aunque no fácil, suplantar la página en cuestión y obtener todo tipo de datos personales. Pero si el certificado ha sido revocado el navegador debería impedirnos el acceso a la trampa.

Certificado válido

El posible problema con Safari es debido a que el navegador de Apple utiliza el servicio de Acceso a Llaverosde Mac OS X, y por defecto la comprobación de las listas de validez de certificados está desactivada. Intego explica en su blog los sencillos pasos que hay que realizar para activar el uso de la Certificate Revocation List (CRL) y del Online Certificate Status Protocol (OCSP) en el Acceso a Llaveros que podemos encontrar en la carpeta de Utilidades dentro de Aplicaciones o simplemente buscando con Spotlight. Desgraciadamente el uso de estas funciones puede ralentizar el uso de internet en nuestro equipo.

La alternativa es usar otro navegador como el recientemente renovado FirefoxGoogle Chrome, ya que implementan otros mecanismos de validación y deberían detectar automáticamente la revocación de un certificado. De todas formas para realizar un ataque con éxito habría que crear una réplica completa de la web imitada y encontrar la forma de hacernos llegar hasta la versión falsa, un esfuerzo que no es probable que realicen los malhechores toda vez que el robo ha sido rápidamente detectado. Yo por si acaso seguiré usandoChrome como mi navegador por defecto.

Foto: Jeremy Daccarett

Safari potencialmente vulnerable por robo de certificados digitales escrita en AppleWeblog el 25 March, 2011 por david-attrache
Enviar a TwitterCompartir en Facebook

 

Comments are closed.