Hace unas nueva semanas los hackers Dan Kaminsky y Moxie Marlinspike descubrieron (por separado pero con idénticos resultados) dos importantes vulnerabilidades relacionadas con el protocolo de cifrado más usado de la red, SSL, fallos que presentaron en la conferencia de seguridad Black Hat y que en parte aún no se solucionaron por culpa de Microsoft.
Por un lado descubrieron la forma de obtener un certificado SLL con un proceso muy simple y por el otro un bug en la API de Microsoft CryptoAPI que permite engañar a cualquier aplicación que use esta interfaz de programación y hacerlas entender ese certificado proviene de cualquier sitio web que el atacante quiera. Dicho lo cual, por ejemplo un chico malo podría crear una “copia” de la web que quisiera (PayPal mismamente) y al entrar a ella con el navegador este no detectará que estamos accediendo a un sitio peligroso, para él el certificado SSL es de una web legítima y conocida.
Lo peor de todo el caso es que CryptoAPI es usada por muchos programas, entre ellos Internet Explorer, Google Chrome o Safari (el único navegador que parcheó el bug fue Firefox), y miles de usuarios corren peligro potencial de ser estafados, infectados y demás. Que Microsoft aún no haya resuelto los problemas de su librería me parece indignante. Aunque sea cierto que no toda la culpa es de ellos, al siguiente día de los reportes ya tendrían que haber empezado a reescribir su API o las partes necesarias.