Como si ya no estuviera pasando por tiempos lo suficientemente difíciles, el protocolo de seguridad SSL ha sufrido recientemente otro revés importante. Por alguna razón esta vulnerabilidad aprovechable a través de este programa no ha recibido la atención suficiente por parte de la prensa, pero debido a la importancia cotidiana del protocolo SSL (y gracias al dato que nuestro amigo y lector "ChUkIsLuKiS" nos ha proporcionado), decidimos darle una repasada. Al fin y al cabo, este agujero es tan grande, que podría obligarnos a tener que encriptar toda comunicación en Internet.
La presentación de "Moxie Marlinspike" en el Black Hat DC 2009 ha dejado una nube de preocupación sobre todos los interesados en la seguridad en Internet. Lo cierto es que, si una página tiene una conexión del tipo "segura", entonces utiliza de una forma u otra el protocolo SSL. Está tan integrado y es tan utilizado en estos días que cualquier vulnerabilidad no es otra cosa más que una señal extra de debilidad de un sistema del cual todos dependemos en estos días de comunicaciones y transacciones digitales.
Utilizando términos básicos, la función de SSLStrip es, tal y como lo dice su nombre, remover el SSL. ¿Cómo lo hace? La técnica es conocida como "ataque del hombre en el medio". Cuando solicitamos una conexión a una página segura, encontramos al inicio de la dirección el término "https" en vez de "http", lo cual también es representado en los navegadores por un candado cerrado. Con esto como referencia, el usuario piensa que está protegido de cualquier ataque externo. Sin embargo, SSLStrip intercepta una petición HTTPS, y en vez de permitir la carga de la página "segura", envía la versión HTTP de la página. Lo que es peor, para el servidor esta página "normal" enviada al usuario sigue siendo reportada como "segura". ¿El resultado? Toda información intercambiada a través de esa conexión está potencialmente expuesta a cualquiera que desee obtenerla. SSLStrip también aprovecha las falencias de los navegadores a la hora de presentarles (y hacerles entender) a los usuarios las diferencias entre una página segura y una no segura.
Esto es, a falta de otra palabra, trágico. Moxie logró esto gracias a la creciente debilidad que están mostrando los certificados SSL, tan alterables, modificables y reemplazables que dan miedo. En una simple prueba de 24 horas, Moxie obtuvo más de 300 contraseñas de diferentes servicios, desde Google Mail hasta PayPal. Incluso nuestro amigo y lector "inedit00" probó el programa en una red a la que tiene acceso y en la red Tor, obteniendo resultados similares. De acuerdo a lo demostrado por Moxie (su vídeo de poco más de 69 minutos no tiene desperdicio) la única probable solución a todo esto es encriptar todas las conexiones HTTP, o sea, que el "HTTP" común y silvestre sea reemplazado en todas sus instancias por "HTTPS", sin importar página o servicio. Tal y como Moxie lo dijo, "un protocolo seguro que depende de un protocolo inseguro, es un problema". ¿Qué puede hacer el usuario de momento? Verificar de manera paranoica que haya un "https" delante de cada página que sea comprometida, o en el caso de los usuarios de Firefox instalar "NoScript" y forzar conexiones HTTPS en todas las páginas. Y aún así, esto sólo minimizaría el efecto, no lo anularía.
Enviamos nuestro agradecimiento a "ChUkIsLuKiS" por mencionar esta vulnerabilidad, a Kriptópolis por ser uno de los pocos que lo anunció en febreo pasado, y a "inedit00" por sus pruebas. Internet se está volviendo un lugar cada vez más inseguro, y esto lo comprueba de una forma directa, realista, y preocupante. A cuidarse, chicos y chicas.
