Inicio / Alerta Temprana / Avisos Seguridad / Combinación de técnicas para robar información antes de cifrarla mediante SSL

Combinación de técnicas para robar información antes de cifrarla mediante SSL

Fecha de publicación: 
20/02/2009
Importancia: 
3 - Media
Recursos afectados: 

Servicios SSL a los que se acceda desde otros no seguros.

Descripción: 

Se ha expuesto una forma de ataque, a través de la combinación de varios métodos,  mediante la cual podemos engañar a los usuarios simulando que están navegando a través de una conexión segura (HTTPS), cuando realmente no es así.

Impacto: 

Permite “robar” información sensible a los usuarios haciéndoles  creer que están navegando bajo una conexión segura.

Solución: 
  • No acceder a páginas cifradas con SSL (HTTPS) desde páginas HTTP.
  • No acceder a páginas desde enlaces en correos electrónicos.
  • Fijarse en todo momento en los indicadores de página HTTPS que nos dan los navegadores: Color de la barra de navegación, El candado aparece en su posición correcta...
  • Fijarse bien en los certificados, y no aceptar los que tengamos dudas.
  • Si sospechamos de un sitio, por que cambió de aspecto, la posición de los iconos, los colores etc., informarnos mediante un correo o llamada telefónica para asegurarse que la pagina es la correcta.
Detalle: 

Moxie Marlinspike, ha expuesto en la BlackHat una aplicación (SSLStrip) que combina varias técnicas de ataque (man-in-the-middle y phishing básicamente) para conseguir engañar al usuario cuando accede a una "página segura" mediante HTTPS desde otra página no segura (HTTP).

La demostración se basó en instalar la aplicación en un proxy entre el usuario e Internet. Este programa intercepta y devuelve una página idéntica sin cifrar cuando se solicita una página cifrada con SSL, engañando al usuario y al navegador, haciéndole creer que está cifrada. Cuando el usuario introduzca sus credenciales en la página, la información podrá ser fácilmente interceptada por dicho programa.

Esto, unido a un problema en los navegadores a la hora de verificar la autenticidad de las autoridades certificadoras intermedias, puede provocar en determinados caso que sea posible emitir y firmar “certificados hoja” para otros dominios que aparecerán como  válidos, ya que algunos navegadores y servicios SSL no se molestan en comprobar el campo del certificado basicConstraints CA=FALSE.