in

SSLStrip: Otro agujero para el SSL

Como si ya no estuviera pasando por tiempos lo suficientemente difíciles, el protocolo de seguridad SSL ha sufrido recientemente otro revés importante. Por alguna razón esta vulnerabilidad aprovechable a través de este programa no ha recibido la atención suficiente por parte de la prensa, pero debido a la importancia cotidiana del protocolo SSL (y gracias al dato que nuestro amigo y lector "ChUkIsLuKiS" nos ha proporcionado), decidimos darle una repasada. Al fin y al cabo, este agujero es tan grande, que podría obligarnos a tener que encriptar toda comunicación en Internet.

La presentación de "Moxie Marlinspike" en el Black Hat DC 2009 ha dejado una nube de preocupación sobre todos los interesados en la seguridad en Internet. Lo cierto es que, si una página tiene una conexión del tipo "segura", entonces utiliza de una forma u otra el protocolo SSL. Está tan integrado y es tan utilizado en estos días que cualquier vulnerabilidad no es otra cosa más que una señal extra de debilidad de un sistema del cual todos dependemos en estos días de comunicaciones y transacciones digitales.

Utilizando términos básicos, la función de SSLStrip es, tal y como lo dice su nombre, remover el SSL. ¿Cómo lo hace? La técnica es conocida como "ataque del hombre en el medio". Cuando solicitamos una conexión a una página segura, encontramos al inicio de la dirección el término "https" en vez de "http", lo cual también es representado en los navegadores por un candado cerrado. Con esto como referencia, el usuario piensa que está protegido de cualquier ataque externo. Sin embargo, SSLStrip intercepta una petición HTTPS, y en vez de permitir la carga de la página "segura", envía la versión HTTP de la página. Lo que es peor, para el servidor esta página "normal" enviada al usuario sigue siendo reportada como "segura". ¿El resultado? Toda información intercambiada a través de esa conexión está potencialmente expuesta a cualquiera que desee obtenerla. SSLStrip también aprovecha las falencias de los navegadores a la hora de presentarles (y hacerles entender) a los usuarios las diferencias entre una página segura y una no segura.

Esto es, a falta de otra palabra, trágico. Moxie logró esto gracias a la creciente debilidad que están mostrando los certificados SSL, tan alterables, modificables y reemplazables que dan miedo. En una simple prueba de 24 horas, Moxie obtuvo más de 300 contraseñas de diferentes servicios, desde Google Mail hasta PayPal. Incluso nuestro amigo y lector "inedit00" probó el programa en una red a la que tiene acceso y en la red Tor, obteniendo resultados similares. De acuerdo a lo demostrado por Moxie (su vídeo de poco más de 69 minutos no tiene desperdicio) la única probable solución a todo esto es encriptar todas las conexiones HTTP, o sea, que el "HTTP" común y silvestre sea reemplazado en todas sus instancias por "HTTPS", sin importar página o servicio. Tal y como Moxie lo dijo, "un protocolo seguro que depende de un protocolo inseguro, es un problema". ¿Qué puede hacer el usuario de momento? Verificar de manera paranoica que haya un "https" delante de cada página que sea comprometida, o en el caso de los usuarios de Firefox instalar "NoScript" y forzar conexiones HTTPS en todas las páginas. Y aún así, esto sólo minimizaría el efecto, no lo anularía.

Enviamos nuestro agradecimiento a "ChUkIsLuKiS" por mencionar esta vulnerabilidad, a Kriptópolis por ser uno de los pocos que lo anunció en febreo pasado, y a "inedit00" por sus pruebas. Internet se está volviendo un lugar cada vez más inseguro, y esto lo comprueba de una forma directa, realista, y preocupante. A cuidarse, chicos y chicas.

Reportar

¿Qué te pareció?

Escrito por Lisandro Pardo

6 Comments

Leave a Reply
  1. Realmente increible, ‘tan seguro’ que decía ser el SSL y ahora bugs y filtraciones por todas partes, la verdad, como no se den prisa en la seguridad general de Internet (como SSL pero algo que vaia ‘bien’), éste caerá…

    Y estoy seguro de que NADIE en este planeta que tiene un ordenador en casa desearía esto…

  2. La verdad sea dicha. Se ha encontrado una forma de vulnerar el protocolo "de seguridad" y ahora no podemos asegura 100% que las conexiones sean seguras. Claro que para poder realizar un ataque MITM (Man in the Middle ), debemos estar en la misma LAN ( osea, la misma red local ). Aún así, esto nos lleva a problemas de seguridad en campus universitarios, cibercafés y empresas donde toda la información supuestamente segura ( incluyendo datos de profesores, comprobado ), se ve vulnerada y accesible para cualquier entendido.
    También hay que tener en cuenta que el protocolo WEP de las wifis no es seguro, y si alguien extrae la clave del router de tu casa o oficina, podrá facilmente, acceder a todos tus datos "seguros".
    Con esto no se quiere alarmar al personal, ya que poco se puede hacer. Tampoco hay ningún interés real por nadie a leer los correos que le mandas a tu chica, la verdad 😉
    La red Tor, que es una red hecha de proxyes donde cada persona que usa la red puede hacer de su máquina un servidor, se supone que es un sistema seguro de acceso a la red, ya que tu información va dando "saltos" através de los ordenadores, de manera cifrada y blablabla. Desgraciadamente con SSLStrip se puede comprometer la seguridad del sistema. Como qualquiera puede hacer de Servidor, puede estar interceptar los datos que pasan por su ordenador, igual que si fuera una LAN. Animo a los usuarios de Tor que se lo piensen dos veces antes de usar sus servicios. 😉
    Gracias por haber sido nombrado en el artículo de Neoteo. Y si alguien tiene alguna duda o curiosidad, no dude en pedirlo en este post.

    • Hola, me interesa el tema de como se puede utilizar SSLStrip???? es para el ramo de seguridad informatica y si me pudieras ayudar seria fantastico, desde ya gracias

Deja una respuesta

Tu dirección de correo electrónico no será publicada. Los campos obligatorios están marcados con *

Este sitio usa Akismet para reducir el spam. Aprende cómo se procesan los datos de tus comentarios.

Próximamente: Relojes atómicos de pulsera

¿Tienes un ordenador zombie?