La crisis del SSL


Hace un tiempo lei una pequeña noticia en la que se hacia mención a que el protocolo SSL (Secure Socket Layer) utilizado en ciertos sitios web y sistemas para cifrar la información que estamos enviando a un cierto servidor estaba pasando por una especie de crisis donde se lo consideraba bastante vulnerable hasta tal punto que hace unos cuantos días se empezo a hablar del famoso ya SSLStrip presentado por Moxie Marlinspike en el Black Hat 2009.

Con esta herramienta como bien demostro su creador se puede hacer pasar un sitio seguro (nos damos cuenta cuando en la dirección del mismo dice HTTPS) como uno que no lo es, en rasgos generales lo que hace es interceptar peticiones https y devolver el mismo sitio pero en su versión http, haciendole pensar al usuario que está frente a un sitio seguro, y en realidad los datos ingresados estan siendo enviados sin cifrado, haciendo una analogía vendria a ser como un policia corrupto, precisamente no te esta protegiendo de los malos sino que te está entregando.

Ahora realmente sabemos que el protocolo SSL está en crisis de verdad y una de las soluciones que se proponen varios seria el cifrado de todas las conexiones http, pero por mas que todo sea cifrado utilizando SSLStrip se obtendrían los mismos resultados, así que de momento está todo muy nebuloso.

Asi que bueno, el post era simplemente para comentarles esto para los que no lo sabían y mientras tanto sigamos confiando un poco en el protocolo.

Para mas info les dejo estos links:

Anuncios

2 Responses to La crisis del SSL

  1. Hola! Es muy interesante la presentación del sslstrip, sin embargo, no creo que haya demostrado que el “ssl esté en crisis” porque llevar a cabo un ataque con sslstrip es muy complejo e involucra la posibilidad de capturar el tráfico de la red, entre otras cosas. No es viable que este ataque se pueda hacer masivo. Es muy interesante como prueba de concepto pero no es algo que debería preocuparnos en la realidad, por lo menos segun mi punto de vista (y el de otros tantos, entre otros hispasec publicó algo similar hace unas semanas).

    Por otro lado, si todo el tráfico fuera por ssl, la herramienta no funcionaría, ya que su funcionamiento se basa en poder capturar tráfico http. De todas formas, utilizar todas las comunicaciones por ssl es inviable, segun me comentaban algunos expertos, por cuestiones de performance. Además, qué sentido tiene cifrar datos que no son privados.

    Saludos.

    Sebastián

  2. Ariel Benz says:

    Sebastián gracias por el comentario, la verdad que si tenes razón, con el post no quise expresar que el ssl se encuentra en una crisis donde navegar por la red es inseguro sino que me refería a las posibles amenazas que se pueden presentar en un futuro que por el momento se deben estar estudiando algunas soluciones, además como bien decis vos para que este se vea realmente involucrado hace falta un ataque masivo con este tipo de herramientas que solo fue parte de una presentación y esto se dificulta.

    Comparto que hacer todas las comunicaciones por ssl haria que las cosas no funcionen muy bien al estar cifrando cualquier tipo de información irrelevante.

    Tu comentario aporto bastante ya que es un tema muy interesante para hablar.

    Saludos.

Responder

Introduce tus datos o haz clic en un icono para iniciar sesión:

Logo de WordPress.com

Estás comentando usando tu cuenta de WordPress.com. Cerrar sesión / Cambiar )

Imagen de Twitter

Estás comentando usando tu cuenta de Twitter. Cerrar sesión / Cambiar )

Foto de Facebook

Estás comentando usando tu cuenta de Facebook. Cerrar sesión / Cambiar )

Google+ photo

Estás comentando usando tu cuenta de Google+. Cerrar sesión / Cambiar )

Conectando a %s

A %d blogueros les gusta esto: