Duong y Rizzo demostraron que la vulnerabilidad realmente existe el viernes pasado, cuando en apenas dos minutos aprovecharon un exploit – que ellos llaman BEAST – para obtener la cookie de autenticación utilizada para acceder a la cuenta de un usuario de PayPal. Ante la gravedad del asunto, los desarrolladores de navegadores web están pensando cómo solucionar el problema.
Hace poco más de una semana hablábamos de un par de investigadores, llamados Thai Duong y Juliano Rizzo, quienes afirmaron haber vulnerado el sistema SSL que se utiliza actualmente (TLS 1.0) para validar casi todas las operaciones seguras que se hacen en internet. Esto significa que operaciones como las transacciones bancarias o entrar al e-mail podrían ponerse en riesgo.
El equipo de Firefox está considerando así dejar de trabajar con Java. La medida es muy drástica porque muchos sitios web y aplicaciones no correrían en el navegador sin él.
BEAST (Browser Exploit Against SSL/TLS) inyecta JavaScript en una sesión SSL para recuperar información secreta que es transmitida repetidamente en una ubicación predecible dentro del flujo de datos. Para que BEAST funcionara en la demostración del viernes, Duong y Rizzo debieron derribar primero un mecanismo de seguridad que existe en la web llamado la “política del mismo origen”, que dice que los datos enviados por un dominio no pueden ser leídos o modificados por alguien con una dirección distinta. Los investigadores usaron un componente (applet) Java para saltarse la política del mismo origen, lo que ha llevado a los desarrolladores de Firefox a discutir bloquear este framework en la próxima versión del navegador.
En el foro de Firefox, el desarrollador Brian Smith se manifestó a favor de bloquear todas las versiones del plugin de Java. “Lo que entiendo es que Oracle puede o puede que no esté al tanto de los detalles del exploit del ‘mismo origen’”, indicó.
Bloquear Java, sin embargo causaría una horrible experiencia de usuario, cosa que otros desarrolladores han señalado en el mismo foro. La pelea está entre usabilidad y seguridad. “Es una decisión difícil. Matar Java significa desactivar funcionalidades de usuario como el videochat de Facebook, como también varias aplicaciones corporativas basadas en el sistema”, opinó Johnathan NIghtingale, director de ingeniería de Firefox.
Todavía no hay decisión al respecto, pero se trata de una medida que sería bastante extrema si se compara lo que ha decidido hacer Chrome, en cambio. Los desarrolladores de Google actualizaron las versiones beta del navegador para que separe ciertos mensajes en fragmentos, reduciendo el control del atacante sobre el texto que será cifrado en SSL. Agregando un nivel inesperado de azar al proceso de cifrado, Chrome espera que BEAST reciba información confusa que no logre entender.
La actualización, de todos modos, creó ciertas incompatibilidades entre Chrome y algunos sitios web. Google todavía no lanza el parche a los usuarios de la versión estable.
Microsoft, en tanto, recomendó a los usuarios aplicar varios arreglos temporales mientras desarrolla un parche permanente. Todavía no hay detalles respecto de qué camino tomaría.
En Firefox, en tanto, esperan que Oracle tome cartas en el asunto ahora que Java les pertenece. “Cualquier decisión que tomemos, realmente espero que Oracle lance una actualización por sí mismo. Es la única manera de mantener a sus usuarios realmente a salvo”, señaló Nightingale.
No hay comentarios:
Publicar un comentario