Sunday, January 11, 2009

Problema Grave en los sistema de certificación para el e-commerce

Es increible como se esta atacando a los sistemas e-commerce, y lo que es mas preocupante es que no hay una alternativa viable para poder frenar el menos este ultimo ataque.
La base de datos de Vulnerabilidades 836068 esta reportando un ataque con colisiones de la huella digital MD5, conocido como IETF RFC 1321, el cual es un algoritmo tipo "hash", que pueden afectar los cetificados SSL.
Los sistemas afectos son Microsoft, Mozilla, y Verisign, todos estos son sistemas usados como base para el e-banking.

Usted puede ver si su sistema de acceso (plataforma MS, etc, su Engine como IE, Mozilla, y si su banco usa MD5).
Para poder determinar si ud. esta en riesgo favor ver el sistema de certificado CA, dar click en su icono y analizar la huella digital si es MD5 que genere el SSL.

Si no puede, cualquiero asunto nos puede escribir y le detallamos un guía de como ud. puede solo ver si esta en riesgo potencial o no....

Suerte a todos....



US-CERT is aware of a public report describing how MD5 collisions can be leveraged to generate rogue SSL CA certificates. A rogue CA certificate could be used by an attacker to generate valid SSL certificates for arbitrary web sites. Using these certificates in DNS redirection attacks, an attacker could spoof an SSL protected web site and obtain sensitive information.

US-CERT encourages users to review VU#836068 in the Vulnerability Notes Database.

US-CERT will provide additional information as it becomes available.