Moxie Marlinspike acaba de presentar en Black Hat su ingeniosa herramienta SSLStrip, dirigida a hacer creer al usuario que se encuentra en un sitio web con cifrado SSL cuando en realidad todos los datos están siendo transmitidos en abierto. Adicionalmente, SSLStrip también engaña al servidor web, cuyo presunto cifrado queda anulado aunque el sitio sigue comportándose como si funcionara.
SSLStrip ha sido bendecido por Dan Kaminski, quien lo considera un ataque novedoso e interesante. Para Kaminski, SSLStrip viene a confirmar algo que ya sabíamos: que SSL no funciona demasiado bien...
El ataque (que aprovecha el momento de paso de http a https al acceder a una página de login, por ejemplo) se ha mostrado eficaz en Firefox y Safari, y aún no se ha probado en Explorer. El autor afirma haber configurado un servidor Tor "cifrado" mediante el que en un solo día recolectó 254 contraseñas de acceso a Gmail, Paypal, Yahoo, etc.
Para el creador de SSLStrip la única solución posible es cifrarlo absolutamente todo.
¿Y ahora quien podrá defendernos? Esa es la pregunta que muchos nos estamos formulando, después que Moxie Marlinspike publicara el SSLStrip en el Black Hat 2009. Herramienta que pone en duda la fiabilidad el protocolo de cifrado mas utilizado en Internet (SSL - Secure Socket Layer).
SSLStrip es una herramienta que permite realizar un ataque “man-in-the-middle” engañando al usuario para hacerlo creer que se encuentra en un sitio de Internet con cifrado SSL (HTTPS). En realidad tus datos se están transmitiendo sin cifrado alguno (HTTP), pero la cosa no para ahí, SSLStrip también permite engañar el servidor HTTP, haciéndolo pensar que el cifrado ha sido anulado pero en realidad el sitio sigue como si todavía utilizara SSL.
Últimamente la seguridad del SSL ha sido atacada por todos los frentes, hace poco en la edición 25 del Chaos Computer Congress investigadores con la ayuda de varias consolas Play Station 3 lograron generar certificados SSL totalmente validos y ahora Dan Kaminski con su herramienta SSLStrip nos recuerda que la época del SSL esta llegando a su fin y es necesaria una nueva tecnología mucho mas robusta.
Recuerdo que Buanzo en el Segundo Encuentro Internacional de Seguridad Informática comentaba esta problemática y proponía como solución el enigform, un plugin para Firefox, el cual te permite firmar digitalmente todas las peticiones HTTP.
Les dejo una entrevista realizada por Jeff Moss (Fundador de Black Hat) a Moxie Marlinspike (Creador del SSLStrip)
No hay comentarios:
Publicar un comentario