Un hacker argentino rompió el «candado» de los navegadores: A seguro se lo llevaron preso

Los hackers encontraron una forma de atacar la vulnerabilidad de la versión ssl 1.0 –usada por unos seiscientos mil servidores en todo el mundo–, aunque ya existen versiones que han sido mejoradas (1.1 y 1.2), pero son usadas por apenas ochocientos servidores. “Es que cambiar de navegadores y el protocolo de los servidores tiene un costo que hasta el viernes no estaban dispuestos a implementar”, dice Rizzo. El mismo día, Google anunció la inclusión de un “arreglo” para que el “exploit” no funcione.

¿Cómo funciona el famoso programa hackeador? “Hicimos algo que no parecía ser posible en la práctica”, dice Rizzo. El programa registra todo lo que sucede en una comunicación (sniffer) usando un lenguaje de programación que está en el mismo navegador: no es un virus, sino una falencia propia del navegador. “Nosotros coordinamos esto para que el navegador envíe cosas que después controlamos. Controlamos la función de encriptación, y luego de allí vamos sacando información –dice Rizzo–. Nadie pensaba que podía funcionar.”

La lógica es la siguiente: cada vez que un usuario ejecuta una acción con un navegador, como por ejemplo hacer click en un formulario para ingresar a un banco o pagar con tarjeta de crédito, el navegador envía una cookie, es decir un archivo, que queda guardado en la computadora del usuario. Este archivo permite que el navegador “recuerde” con quién está conversando y le permite mantenerse dentro de una compra electrónica sin tener que poner la clave cada vez que hace click. Si la transacción fue realizada a través de un protocolo seguro como https, se supone que esa información queda encriptada en la computadora. “Nosotros de-sencriptamos esas cookies, y podemos copiarlas a nuestro navegador y entramos al sitio al que estás entrando como si fuéramos vos”, dice Rizzo.

“Esta es una capa de seguridad más profunda y menos detectable. La recomendación para el usuario común es que si está en una red pública evite poner sus datos aunque éstos parezcan ser seguros. Porque la única seguridad que tienen es vulnerable y cualquier atacante puede tener acceso.” Ahora bien, ¿qué hacer cuando se tiene esta información? La criminalización del mundo hacker por medio del relato colectivo se ha convertido en un aspecto desinformativo sobre la cultura de la investigación informática. Rizzo y Duong compartieron la información con los fabricantes de navegadores como Microsoft, Google, Opera y Mozilla en mayo pasado. “El tema es que la solución real es pasar a las versiones nuevas, las soluciones a corto plazo son modificar un poquito para hacerle la situación más difícil al atacante, pero eso también puede provocar incompatibilidades entre clientes y servidores”, dice. Por ahora, sólo Opera arregló el problema y Google anunció un parche.

“¿Cómo se puede vivir sabiéndolo todo?”, le pregunta este cronista a Rizzo, y el hacker larga la carcajada. “Es fácil, es divertido”, dice. “¿Y cómo comprás por Internet?” “Yo compro porque en la práctica el usuario no termina pagando la compra falsa. Si alguien compra con mis datos no los pago yo, las tarjetas están aseguradas. Yo uso la tarjeta en Internet considerando eso, no confío en los protocolos seguros, sino en el seguro de la transacción.”
 

*Periodista de Página 12, Argentina