Comentarios en: Análisis de un ataque phishing casi perfecto http://www.sahw.com/wp/archivos/2006/02/14/analisis-de-un-ataque-phishing-casi-perfecto/ Seguridad de la Información y Auditoría de Sistemas Mon, 15 Mar 2010 17:13:37 +0000 http://wordpress.org/?v=2.9.2 hourly 1 Por: javier cao avellaneda http://www.sahw.com/wp/archivos/2006/02/14/analisis-de-un-ataque-phishing-casi-perfecto/comment-page-1/#comment-1338 javier cao avellaneda Wed, 15 Feb 2006 21:42:25 +0000 http://www.sahw.com/wp/archivos/2006/02/14/analisis-de-un-ataque-phishing-casi-perfecto/#comment-1338 El certificado solo garantiza que la dirección del navegador coincide con la que tiene el certificado. No evita el DNS spoofing porque además, las urls cambian de dirección IP frecuentemente. El problema es que por desgracia se ha trivializado la aparición del candado. Los requisitos para expedir uno de servidor son diferentes segun las CA y los paises. Por otro lado, el navegador lleva por defecto algunos tambien, asi que realmente el usuario no controla "en quien quiere confiar". En España tenemos además la LEY 59/2003, de 19 de diciembre, de firma electrónica pero ya he visto en mas de un organismo oficial y empresas certificados generados con PKI propias para autenticar al servidor. Además, aunque el usuario más o menos entiende lo del candado, casi nunca puede verificarse la lista de certificados revocados por lo que si tienes activo que se mire la lista antes de dar por válido un certificado, siempre te avisa el navegador de que no puede saber si en ese momento el certificado es bueno o no y toca tirarse a la piscina y confiar en que sea válido. En fin, las cosas se han hecho mal y se continuan haciendo peor. El certificado solo garantiza que la dirección del navegador coincide con la que tiene el certificado. No evita el DNS spoofing porque además, las urls cambian de dirección IP frecuentemente.

El problema es que por desgracia se ha trivializado la aparición del candado. Los requisitos para expedir uno de servidor son diferentes segun las CA y los paises. Por otro lado, el navegador lleva por defecto algunos tambien, asi que realmente el usuario no controla “en quien quiere confiar”.
En España tenemos además la LEY 59/2003, de 19 de diciembre, de firma electrónica pero ya he visto en mas de un organismo oficial y empresas certificados generados con PKI propias para autenticar al servidor. Además, aunque el usuario más o menos entiende lo del candado, casi nunca puede verificarse la lista de certificados revocados por lo que si tienes activo que se mire la lista antes de dar por válido un certificado, siempre te avisa el navegador de que no puede saber si en ese momento el certificado es bueno o no y toca tirarse a la piscina y confiar en que sea válido. En fin, las cosas se han hecho mal y se continuan haciendo peor.

]]> Por: jmt http://www.sahw.com/wp/archivos/2006/02/14/analisis-de-un-ataque-phishing-casi-perfecto/comment-page-1/#comment-1337 jmt Wed, 15 Feb 2006 08:35:38 +0000 http://www.sahw.com/wp/archivos/2006/02/14/analisis-de-un-ataque-phishing-casi-perfecto/#comment-1337 Bueno en realidad se tratará de comprobar dos cosas a) Que la entidad, nombre, denominación, y datos concretos son los que nosotros queremos. b) Que la entidad certificadora "en la que confiamos" identifica de forma correcta esos datos. Es evidente que la CA debe EXIGIR garantías suficientes a los usuarios o destinitarios de sus certificados de que son quien dicen ser... pero claro si ellos dicen ser "Una montaña de americanos" en vez de "Un americano de las montañas" y piden un certificado de eso.... la entidad me imagino que no tendrá más remedio que tener que certificar eso. No sé si me he explicado.... Aquí nuestra FNMT es una CA que nos exige "ir" y presentarnos en persona a una delegación de hacienda para "certificar" que somos quien decimos que somos... no sé si me he liado o he aclarado algo. Gracias Sergio por tu web. Continúa así. jmt Bueno en realidad se tratará de comprobar dos cosas
a) Que la entidad, nombre, denominación, y datos concretos son los que nosotros queremos.
b) Que la entidad certificadora “en la que confiamos” identifica de forma correcta esos datos.
Es evidente que la CA debe EXIGIR garantías suficientes a los usuarios o destinitarios de sus certificados de que son quien dicen ser… pero claro si ellos dicen ser “Una montaña de americanos” en vez de “Un americano de las montañas” y piden un certificado de eso…. la entidad me imagino que no tendrá más remedio que tener que certificar eso.
No sé si me he explicado…. Aquí nuestra FNMT es una CA que nos exige “ir” y presentarnos en persona a una delegación de hacienda para “certificar” que somos quien decimos que somos… no sé si me he liado o he aclarado algo.
Gracias Sergio por tu web. Continúa así.
jmt

]]> Por: Grohl http://www.sahw.com/wp/archivos/2006/02/14/analisis-de-un-ataque-phishing-casi-perfecto/comment-page-1/#comment-1335 Grohl Tue, 14 Feb 2006 20:42:30 +0000 http://www.sahw.com/wp/archivos/2006/02/14/analisis-de-un-ataque-phishing-casi-perfecto/#comment-1335 Entonces , si el certificado es inutil para detectar que el sitio al que se ha conectado el usuario es el que dice ser ¿ para qué sirven los certificados de servidor ? <a href="http://www.equifax.com/DigitalCertificates/" rel="nofollow">Equifax</a> parece una entidad certificadora real ¿ O es que estas entidades solo aseguran que te conectas a la máquina que dice ser, aunque sus propósitos sean oscuros ? Es decir, al fin y al cabo, tu quieres conectarte a https://www.mountain-america.net y eso es lo que certifican ¿ Cómo podemos asegurarnos mediante certificados de que : 1) nos conectamos con la máquina que queremos ( evitar DNS spoofing ) 2) la máquina a la que nos conectamos pertenece a la entidad que queremos ? Entonces , si el certificado es inutil para detectar que el sitio al que se ha conectado el usuario es el que dice ser ¿ para qué sirven los certificados de servidor ?

Equifax parece una entidad certificadora real
¿ O es que estas entidades solo aseguran que te conectas a la máquina que dice ser, aunque sus propósitos sean oscuros ? Es decir, al fin y al cabo, tu quieres conectarte a https://www.mountain-america.net y eso es lo que certifican

¿ Cómo podemos asegurarnos mediante certificados de que :

1) nos conectamos con la máquina que queremos ( evitar DNS spoofing )
2) la máquina a la que nos conectamos pertenece a la entidad que queremos

?

]]> Por: meneame.net http://www.sahw.com/wp/archivos/2006/02/14/analisis-de-un-ataque-phishing-casi-perfecto/comment-page-1/#comment-1333 meneame.net Tue, 14 Feb 2006 17:57:53 +0000 http://www.sahw.com/wp/archivos/2006/02/14/analisis-de-un-ataque-phishing-casi-perfecto/#comment-1333 <strong>Sergio Hernando: Análisis de un ataque phishing casi perfecto</strong> Sergio Hernando: "El último caso documentado por ISC de SANS http://isc.sans.org/diary.php?storyid=1118, del que se ha hecho eco Brian Krebs del Washington Post http://blog.washingtonpost.com/securityfix/2006/02/the_new_face_of_phishing_1.html, es re... Sergio Hernando: Análisis de un ataque phishing casi perfecto

Sergio Hernando: “El último caso documentado por ISC de SANS http://isc.sans.org/diary.php?storyid=1118, del que se ha hecho eco Brian Krebs del Washington Post http://blog.washingtonpost.com/securityfix/2006/02/the_new_face_of_phishing_1.html, es re…

]]>