Cookies HTTPS ya no son seguras
Por Luciano Constantin
Tue Sep 20 de 2011, 14:21
Un par de investigadores de seguridad se preparan exhibir un ataque contra SSL/TLS que puede poner en peligro las comunicaciones seguras entre la mayoría de los sitios web y los navegadores.
En el lenguaje cifrado el método utilizado por los investigadores de seguridad Juliano Rizzo y Duong tailandés es conocido como un escogido block-wise atacar y se conoce desde hace años.
Post-2006 versiones del protocolo TLS, como TLS 1.1 o 1.2 no son vulnerables a ella, pero esto es de poca importancia, porque la mayoría de los navegadores web y software continuarán utilizando TLS 1.0 o el anterior protocolo SSL.
Los dos investigadores pretende demostrar su ataque práctico, apodado bestia para navegador explotar contra SSL/TLS, este viernes en la Conferencia de seguridad de ekoparty en Buenos Aires.
"cabe señalar que la vulnerabilidad que explota la Bestia se ha presentado desde la primera versión de SSL. Mayoría de la gente en la comunidad crypto y seguridad ha concluido que es no aprovechable, eso es por qué ha ignorado en gran parte por muchos años, "explicó Duong, segun Threatpost.
Bestia requiere a una posición de man-in-the-middle los atacantes. La mayoría de las veces esto significa que necesitan estar en la misma red que sus objetivos por lo que pueden interceptar las peticiones del explorador.
Bestia tiene dos componentes. Uno contiene código que debe cargarse en el navegador de web de víctimas y la segunda captura y descifra las cookies de sesión HTTPS. Los investigadores afirman que puede descifrar cualquier cookie de sesión segura en cinco minutos en promedio.
"mientras que otros ataques se centran en la propiedad de autenticidad de SSL, la bestia ataca la confidencialidad del Protocolo. Como sabemos, la bestia implementa el primer ataque que realmente descifra las peticiones HTTPS,"dijo Duong.
Agregó que arreglar el problema requiere una revisión del protocolo completo y señaló que su trabajo con navegador y proveedores SSL desde mayo no ha podido producir una solución que es totalmente compatible con todas las aplicaciones existentes.
Independientemente de la solución, algunos desarrolladores tendrá que cambiar sus sitios web y aplicaciones, como todo el mundo de conmutación a una versión más segura del Protocolo no pueden ocurrir durante la noche.
El año pasado, Juliano Rizzo y Thai Duong idearon un relleno oracle ataque contra ASP.NET que les valió un premio de Pwnie para la explotación de servidor mejor.
Fuente:http://www.theinquirer.net/inquirer/new ... tions-risk
Septiembre 21st, 2011, 12:32 am
