Llegamos a ustedes gracias a:



Reportajes y análisis

Las advertencias de los certificados de seguridad no funcionan

[29/07/2009] Todos los navegantes las han visto. Aquellas advertencias de certificado inválido que uno en ocasiones visualiza cuando se intenta visitar un sitio web seguro.

Dicen algo así como Hay un problema con el certificado de seguridad de este sitio web. Si usted es como la mayor parte de las persona, se sentirá un poco inquieto, y -de acuerdo a un nuevo paper de un grupo de investigadores de la Universidad Carnegie Mellon- es muy probable que ignore la advertencia y haga clic.
En un experimento de laboratorio, los investigadores encontraron que entre el 55% y el 100% de los participantes ignoraron las advertencias sobre los certificados de seguridad, dependiendo de cuál navegador estaban usando (diferentes navegadores usan diferentes lenguajes para advertir a sus usuarios).
Todos sabían que había algún problema con esas advertencias, señaló Joshua Sunshine, graduado de Carnegie Mellon y uno de los coautores del paper. Nuestro estudio mostró cuán grande era el problema.
No es noticia. Usualmente las advertencias aparecen debido a un problema técnico en el sitio web, pero también pueden significar que el navegante está siendo redirigido de alguna manera a un sitio web falso. Las URL para sitios web seguros comienzan con https.
Los investigadores primero condujeron una encuesta en línea de más de 400 navegantes web, para saber que pensaban acerca de las advertencias de los certificados. Luego llevaron a 100 personas a un laboratorio y estudiaron cómo navegaban en la red.
Encontraron que la gente generalmente tiene un entendimiento mixto de las advertencias de los certificados. Por ejemplo, muchos pensaban que podían ignorar los mensajes cuando visitaban un sitio en el que confiaban, pero que deberían estar más atentos en sitios menos confiables.
Ese es un mal entendimiento de lo que significan los mensajes, indicó Sunshine. El mensaje está validando que visitas el sitio que crees estar visitando, no que el sitio es confiable.
Si un sitio web bancario muestra un mensaje que su certificado de seguridad es inválido, ese es un muy mal signo, señalan los expertos. Eso puede significar que el navegante está siendo objeto del llamado ataque de hombre en medio. En este tipo de ataque, el criminal se inserta a sí mismo entre el navegante y el sitio que está visitando, con la esperanza de robar información.
Los expertos en seguridad por mucho tiempo han sabido que estas advertencias de seguridad no son efectivas, señaló Jeremiah Grossman, chief technology officer de la consultora en seguridad web White Hat Security. Eso ocurre porque los usuarios realmente no saben lo que implican los riesgos a la seguridad, indicó vía mensaje instantáneo. Así que se la juegan.
En el navegador Firefox 3, Mozilla ha intentado usar un mensaje más simple y mejores advertencias para los certificados malos. Además el navegador hacer que sea más difícil ignorar la advertencia de un mal certificado. En el laboratorio de la Carnegie Mellon, los usuarios de Firefox 3 fueron los que menos probabilidades tuvieron de seguir con su navegación luego de que se les mostró la advertencia.
Los investigadores experimentaron con muchas advertencias de seguridad rediseñadas que ellos mismos escribieron, que parecían ser inclusive más efectivas. Ellos planean reportar sus hallazgos el 14 de agosto en el Usenix Security Symposium en Montreal.
Aún así, Sunshine cree que una mejora en las advertencias solo ayudará. En lugar de las advertencias, los navegadores deberían usar sistemas que puedan analizar los mensajes de error. Si esos sistemas deciden que probablemente esto es un ataque, simplemente deben bloquear al usuario, sostuvo.
Incluso cuando visita importantes sitios web como los de los bancos la gente está ignorando las advertencias, indicó.
Robert McMillan, IDG News Service