SSLStrip pone las fallas de SSL al descubierto

Desde que Dan Kaminsky descubrió esa falla estructural del DNS, comenzamos a ver como cada vez más otros hackers se ponían a hurgar en las entrañas de los protocolos que desde hace más de una década son parte de Internet, en muchos casos obteniendo su preciado botín, una vulnerabilidad que estuvo siempre ahí y de la que nadie (de los chicos buenos al menos) supo de su existencia hasta ese momento. Y es el mismo Kaminsky el que apadrina, elogiándolo, a este nuevo hallazgo presentado por Moxie Marlinspike durante la última conferencia Black Hat: Se trata de SSLStrip, una herramienta que implementa un conjunto de exploits que permiten engañar a casi cualquier usuario al creer que está ingresando a un sitio seguro que utiliza SSL, cuando en realidad está en manos de un ataque del tipo man-in-the-middle y cualquier contraseña o credencial que envíe será capturada por el atacante. Para entender mejor varios pormenores del mismo, nada mejor que descargarse la presentación en PDF donde se explica bastante bien todas las técnicas que se van utilizando, pero en resumidas cuentas lo que se hace es lo siguiente:

  • Casi nadie entra a un sitio con SSL ingresando directamente en la barra de direcciones “https://”, siempre se ingresa desde un link o a través de un redireccionamiento http al visitar la versión no cifrada del sitio.
  • Esto permite, mediante un ataque man-in-the-middle (como por ejemplo uno que aproveche los problemas del DNS descubiertos por Kaminsky) interceptar el tráfico http, y en todo link y redirección donde se apunte al sitio https original, cambiarlo por una dirección controlada por el atacante.
  • Para el lado del servidor web SSL, todo transcurre normalmente, ya que SSLStrip reproduce la comunicación iniciada por el cliente web de la víctima utilizando el certificado emitido por el mismo servidor. Mientras tanto el navegador de la víctima está en medio de una sesión que ni siquiera está cifrada con el atacante.
  • Para que el usuario no sospeche y le parezca que todo está bien, el software es capaz incluso de reemplazar el favicon del sitio que se visita mediante el típico candadito, algo que a un usuario común le hará sentirse más seguro en vez de sospechar.
  • También es posible ofrecerle una conexión https comprometida a la víctima, pero requiere la implementación de un proxy en la red local que provea el certificado. Esto es posible gracias a la posibilidad dentro de la implementación de SSL de que un certificado cualquiera puede emitir otro certificado apto para cualquier sitio, por ejemplo paypal.com.
  • Por último, el ataque se hace más efectivo utilizando trucos homográficos, en donde un caracter internacional que a nivel visual es indistinguible de la letra “a” por ejemplo, permite registrar una URL como paypal.com, que visualmente es idéntica a la URL original, pero en realidad está utilizando otros caracteres, y por lo tanto es distinta, engañando así al usuario.

sslimage24

Marlinspike fue capaz de obtener 254 contraseñas en 24 hs de diversos servicios conocidos como Gmail, PayPal, FaceBook y otros, implementando estas técnicas en un nodo de la red anónima Tor, la cual ya tiene largos antecedentes de ser utilizada para robar credenciales. Lo más preocupante es que de esta forma no era posible implementar el truco del certificado desde un proxy en la red local, lo cual implica que cientos de usuarios ingresaron descuidadamente en sus sitios favoritos sin verificar que la URL no era https.

Este tipo de descubrimientos da mucha tela para cortar, y las posibilidades son infinitas. El proxy en la red local que permita engañar al usuario mostrándole una conexión https es realizable justamente desde redes locales públicas que cada vez se usan más: Sí, me refiero al típico router Wi-Fi que sirve Internet en hoteles, aeropuertos y restaurantes. Y casos desafortunados como el que lamentablemente le sucedió al reconocido blogger Christian Van Der Henst nos muestran que ya no podemos seguir ignorando los problemas de seguridad de las tecnologías que usamos diariamente, por más que esto nos vuelva más paranoicos y nos genere cientos de molestias al tener que vivir tomando innumerables recaudos.

REFERENCIA: hackademix.net

fuente: geekotic.com

ssl

Anuncios

Responder

Por favor, inicia sesión con uno de estos métodos para publicar tu comentario:

Logo de WordPress.com

Estás comentando usando tu cuenta de WordPress.com. Cerrar sesión / Cambiar )

Imagen de Twitter

Estás comentando usando tu cuenta de Twitter. Cerrar sesión / Cambiar )

Foto de Facebook

Estás comentando usando tu cuenta de Facebook. Cerrar sesión / Cambiar )

Google+ photo

Estás comentando usando tu cuenta de Google+. Cerrar sesión / Cambiar )

Conectando a %s