Como si ya no estuviera pasando por tiempos lo suficientemente difíciles, el protocolo de seguridad SSL ha sufrido recientemente otro revés importante. Por alguna razón esta vulnerabilidad aprovechable a través de este programa no ha recibido la atención suficiente por parte de la prensa, pero debido a la importancia cotidiana del protocolo SSL (y gracias al dato que nuestro amigo y lector "ChUkIsLuKiS" nos ha proporcionado), decidimos darle una repasada. Al fin y al cabo, este agujero es tan grande, que podría obligarnos a tener que encriptar toda comunicación en Internet.
-
-
La presentación de "Moxie Marlinspike" en el Black Hat DC 2009 ha dejado una nube de preocupación sobre todos los interesados en la seguridad en Internet. Lo cierto es que, si una página tiene una conexión del tipo "segura", entonces utiliza de una forma u otra el protocolo SSL. Está tan integrado y es tan utilizado en estos días que cualquier vulnerabilidad no es otra cosa más que una señal extra de debilidad de un sistema del cual todos dependemos en estos días de comunicaciones y transacciones digitales.
Utilizando términos básicos, la función de SSLStrip es, tal y como lo dice su nombre, remover el SSL. ¿Cómo lo hace? La técnica es conocida como "ataque del hombre en el medio". Cuando solicitamos una conexión a una página segura, encontramos al inicio de la dirección el término "https" en vez de "http", lo cual también es representado en los navegadores por un candado cerrado. Con esto como referencia, el usuario piensa que está protegido de cualquier ataque externo. Sin embargo, SSLStrip intercepta una petición HTTPS, y en vez de permitir la carga de la página "segura", envía la versión HTTP de la página. Lo que es peor, para el servidor esta página "normal" enviada al usuario sigue siendo reportada como "segura". ¿El resultado? Toda información intercambiada a través de esa conexión está potencialmente expuesta a cualquiera que desee obtenerla. SSLStrip también aprovecha las falencias de los navegadores a la hora de presentarles (y hacerles entender) a los usuarios las diferencias entre una página segura y una no segura.
Algunas páginas dan detalles de que son seguras, pero no tantos como deberían
Lo vimos en: Kriptópolis.org Página oficial (con vídeo): Haz clic aquíEsto es, a falta de otra palabra, trágico. Moxie logró esto gracias a la creciente debilidad que están mostrando los certificados SSL, tan alterables, modificables y reemplazables que dan miedo. En una simple prueba de 24 horas, Moxie obtuvo más de 300 contraseñas de diferentes servicios, desde Google Mail hasta PayPal. Incluso nuestro amigo y lector "inedit00" probó el programa en una red a la que tiene acceso y en la red Tor, obteniendo resultados similares. De acuerdo a lo demostrado por Moxie (su vídeo de poco más de 69 minutos no tiene desperdicio) la única probable solución a todo esto es encriptar todas las conexiones HTTP, o sea, que el "HTTP" común y silvestre sea reemplazado en todas sus instancias por "HTTPS", sin importar página o servicio. Tal y como Moxie lo dijo, "un protocolo seguro que depende de un protocolo inseguro, es un problema". ¿Qué puede hacer el usuario de momento? Verificar de manera paranoica que haya un "https" delante de cada página que sea comprometida, o en el caso de los usuarios de Firefox instalar "NoScript" y forzar conexiones HTTPS en todas las páginas. Y aún así, esto sólo minimizaría el efecto, no lo anularía.
Enviamos nuestro agradecimiento a "ChUkIsLuKiS" por mencionar esta vulnerabilidad, a Kriptópolis por ser uno de los pocos que lo anunció en febreo pasado, y a "inedit00" por sus pruebas. Internet se está volviendo un lugar cada vez más inseguro, y esto lo comprueba de una forma directa, realista, y preocupante. A cuidarse, chicos y chicas. -
¿Y tú, qué opinas?
-
#1Carlos lunes, 16 de marzo de 2009, 18:18
Realmente increible, 'tan seguro' que decía ser el SSL y ahora bugs y filtraciones por todas partes, la verdad, como no se den prisa en la seguridad general de Internet (como SSL pero algo que vaia 'bien'), éste caerá...
Y estoy seguro de que NADIE en este planeta que tiene un ordenador en casa desearía esto... -
#2
-
#3
-
#4kseni14 martes, 17 de marzo de 2009, 11:21
La verdad sea dicha. Se ha encontrado una forma de vulnerar el protocolo "de seguridad" y ahora no podemos asegura 100% que las conexiones sean seguras. Claro que para poder realizar un ataque MITM (Man in the Middle ), debemos estar en la misma LAN ( osea, la misma red local ). Aún así, esto nos lleva a problemas de seguridad en campus universitarios, cibercafés y empresas donde toda la información supuestamente segura ( incluyendo datos de profesores, comprobado ), se ve vulnerada y accesible para cualquier entendido.
También hay que tener en cuenta que el protocolo WEP de las wifis no es seguro, y si alguien extrae la clave del router de tu casa o oficina, podrá facilmente, acceder ... Leer más -
#5
-
#6
-
Cargando...
-
nuevo comentario
Nombre Campo obligatorio
Email Escriba una dirección de correo electrónico con el formato sunombre@ejemplo.com.
Campo obligatorio
-
