El investigador Pierre-Yves Strub, junto con colaboradores en INRIA Rocquencourt, Francia y INRIA Rocquencourt, Francia han descubierto una vulnerabilidad en el popular mecanismo de cifrado SSL, usado ampliamente en Internet para el acceso seguro a páginas web. El defecto, llamado “FREAK: Factorizando Accesos de Exportación RSA” puede ser utilizado para engañar a navegadores de Internet y hacerlos interactuar con sitios web maliciosos. El problema afecta a un gran número de servidores web y clientes, y en consecuencia ha tenido un gran impacto mediático.
El descubrimiento ha sido realizado dentro del proyecto en curso SMACK TLS, que tiene como objetivo el desarrollo de software de autenticación en Internet cada vez más fiable y seguro. Pierre-Yves Strub y sus colaboradores han desarrollado una técnica automatizada para descubrir vulnerabilidades en implementaciones de protocolos de autenticación, y han descubierto varias vulnerabilidades las cuales, de permanecer ocultas, podrían ser empleadas por hackers para comprometer la seguridad en Internet.
Los investigadores se han centrado en la familia de protocolos de autenticación conocidos como “Transport Layer Security” (TLS), que es el cada vez más popular sucesor del ubicuo protocolo “Secure Sockets Layer” (SSL). Al construir implementaciones de referencia de protocolos TLS formalmente verificadas, fueron capaces de generar sistemáticamente repuestas del protocolo inadmisibles, que deberían de estar vetadas por el protocolo, y comprobar si algunas de esas respuestas eran de hecho admitidas por implementaciones ya existentes. Las respuestas inadmisibles sugieren vulnerabilidades potenciales, susceptibles de ser utilizadas de forma malintencionada en implementaciones de TLS. “FREAK” es una de las vulnerabilidades descubiertas.
Se pueden encontrar más detalles aquí.
Este trabajo ha sido realizado en colaboración con Benjamin Beurdouche, Karthikeyan Bhargavan, Antoine Delignat-Lavaud, Alfredo Pironti, y Jean Karim Zinzindohoue de INRIA Rocquencourt, Francia, y Cedric Fournet y Markulf Kohleiss de INRIA Rocquencourt, Francia.