Un grupo de hackers junto a un grupo de investigación europeo, han logrado dar con una importante debilidad en el algoritmo MD5 que mediante la creacion de un falso certificado de autorizacion (CA) logra pasar por certificado confiable en todos los navegadores.
Lo interesante de esto es que para lograrlo los hackers utilizaron el poder de 200 PlayStation 3 unidos en red y trabajando en paralelo para «romper» la seguridad del SSL.
Usando un cluster de 200 PS3, Alex Sotirov y compañía pudieron experimentar con una técnica avanzada de colisión MD5 , la que será presentada en publico el día de hoy en la conferencia 25C3 en Alemania. Sotirov afirma que la construccion de los CA junto con el ataque DNS de Dan Kaminsky podrian tener consecuencias importantes en toda la internet.
Arjen Lenstra, líder del laboratorio de criptológica EPFL comenta que el objetivo fundamental de esta investigación es mejorar la seguridad en internet con adecuados protocolos, Lenstra también asegura «es imperativo que los navegadores y CAs dejen de usar MD5, y migren a una alternativa mas robusta como SHA-2 y el futuro estándar SHA-3»
Esta noticia sin duda pone a temblar a todo sitio el cual resguarda su seguridad vía SSL, pero también son blanco de critica los navegadores actuales (IE, Mozilla) los cuales permitirían el uso de los falsos certificados de autorización.
Fuente: http://www.chw.net
J2Security 