SSLStrip evidencia y explota vulnerabilidades en SSL

 

 

Enviado por admin el 19 Febrero 2009 - 10:04am

20-FEB: Maone aclara hoy algunos detalles. Y una buena noticia: NoScript puede ayudar frente a este ataque.

Moxie Marlinspike acaba de presentar en Black Hat su ingeniosa herramienta SSLStrip, dirigida a hacer creer al usuario que se encuentra en un sitio web con cifrado SSL cuando en realidad todos los datos están siendo transmitidos en abierto. Adicionalmente, SSLStrip también engaña al servidor web, cuyo presunto cifrado queda anulado aunque el sitio sigue comportándose como si funcionara.

SSLStrip ha sido bendecido por Dan Kaminski, quien lo considera un ataque novedoso e interesante. Para Kaminski, SSLStrip viene a confirmar algo que ya sabíamos: que SSL no funciona demasiado bien...

El ataque (que aprovecha el momento de paso de http a https al acceder a una página de login, por ejemplo) se ha mostrado eficaz en Firefox y Safari, y aún no se ha probado en Explorer. El autor afirma haber configurado un servidor Tor "cifrado" mediante el que en un solo día recolectó 254 contraseñas de acceso a Gmail, Paypal, Yahoo, etc.

Para el creador de SSLStrip la única solución posible es cifrarlo absolutamente todo.

 

Más información:

Comentarios

Selecciona arriba tu forma preferida de visualizar los comentarios y pulsa el botón para guardar tu elección para próximas visitas (sólo si eres usuario registrado).
anónimo's picture

Falta Información

Enviado por anónimo el 19 Febrero 2009 - 10:46am.

De momento, y siempre como opinión personal, me parece bastante precipitado el planteamiento de los medios de comunicación. El ataque no deja de ser un ataque MitM, y una vez que estás en medio de la comunicación ... como decirlo ... las posibilidades se multiplican.

Por tanto primero habría que verificar el resultado exacto: ¿consigue injectar su propio certificado de forma transparente?, ¿la injección requiere el beneplácito del usuario?, ¿la suplantación se basa en una debilidad de los navegadores?, etc, etc.

De momento, y con la poca información que hay, parece una vuelta de tuerca más a los MitM para protocolos cifrados, en este caso SSL. Lo cual siempre está bien, y puede ser interesante.

anónimo's picture

Concuerdo

Enviado por anónimo el 19 Febrero 2009 - 11:47am.

Concuerdo en que hace falta más explicación sobre el método y los resultados.

anónimo's picture

Añado lo poco que "he encontrado"

Enviado por anónimo el 19 Febrero 2009 - 12:04pm.

SSLstrip manages to fool the user into believing he has an encrypted connection with the intended website through several clever slights on hand. First, the tool uses a proxy on the local area network that contains a valid SSL certificate, causing the browser to display an "https" in the address bar.

Second, it uses homographic techniques to create a long URL that includes a series of fake slash marks in the address. (To prevent browsers from converting the characters to punycode, he had to obtain a domain-validated SSL wildcard cert for *.ijjk.cn).

"The diabolical thing is it looks like https://gmail.com," Marlinspike told The Register. "The problem is this bridge between http and https and that is a fundamental part of how SSL is deployed on the web. Changing that is not gong to be easy."

En resumen ... parece ser que se trata de un proxy SSL que genera un certificado para un dominio con caracteres unicode. Si es así, no parece ser "la revolución" ... sino más bien, una curiosidad aprovechable en ciertos entornos.

LlamameX's picture

Me parece más que una curiosidad

Enviado por LlamameX el 19 Febrero 2009 - 2:18pm.

Si son capaces de generar la ilusión de haber accedido a https://gmail.com la cosa puede ser muy, muy peligrosa. Las posibilidades del Phishing se multiplican por mucho.

anónimo's picture

Vamos a ver ...

Enviado por anónimo el 20 Febrero 2009 - 9:52am.

Son capaces de "generar la ilusión", siempre y cuando intercepten tu comunicación. Es decir, siempre y cuando hagan un MitM. En este caso usan TOR, y es un claro ejemplo de confiar nuestra "privacidad" a una red de pares donde uno de los pares puede ser un nodo malicioso, siempre dará problemas. Tor ya ha dado problemas y los seguirá dando.

Además la ilusión se fundamenta en 2 problemas:

- 1º Unicode: Están codificando una "barra /" en Unicode, que no es la real, de tal forma se genera la ilusión.

- 2º Que el site inicie la comunicación en http y salte a https para realizar login. Esto lo aprovechan para hacer un redirect en http ( inyectando una respuesta falsa http ) hacia un sitio como http:[/][/]dominio_falso.com[/]login[/]123123.gna34454.cn. Donde [/] es una barra codificada en unicode, que evidentemente no es la / habitual, sino una que "se parece".

PD: No Script _no_ evita el ataque, No Script puede ser una contramedida, siempre y cuando aquellos dominios sobre los que queramos seguridad se fuercen a funcionar sobre https :)

anónimo's picture

Aclaración

Enviado por anónimo el 19 Febrero 2009 - 12:53pm.

MitM = Man in the Middle

http://es.wikipedia.org/wiki/Ataque_Man-in-the-middle

anónimo's picture

Estoy de acuerdo

Enviado por anónimo el 19 Febrero 2009 - 12:28pm.

Es como decir que tu ISP tiene tus contraseñas, no es disparatado decirlo, pero otra cosa que un tercero externo en la comunicación con uno de esos servicios sea capaz de intervenir esa comunicación http.

anónimo's picture

No es lo mismo

Enviado por anónimo el 19 Febrero 2009 - 12:40pm.

Aquí se está diciendo que gente que se conectaba con SSL a un nodo Tor ha visto sus contraseñas comprometidas porque SSL no funcionó aunque a ellos se lo pareciera.

bledEX's picture

SSL funcionó

Enviado por bledEX el 19 Febrero 2009 - 5:21pm.

Una cosa es que SSL funcione o no, y otra hacer un ataque MitM, como ha dicho un anónimo, al pasar por algo que tú no controlas: un proxy. En el que, además, se ha falsificado la seguridad.

Es lo que tiene usar algo de terceros, que nunca estás seguro.

En mi opinión no es un ataque del otro mundo (sniffear gracias que estás en medio con un proxy), sí la utilidad, y que aprieta las tuercas a los que tan alegremente usan servicios de terceros, con o sin SSL, como Tor

Eso sí, combinar esto con pharming o phising, ya sería la leche. Eso sí que será un problema bien hermoso. Aunque bueno, esto ya es posible con la otra vulnerabilidad que salió sobre verificación de certificados (lo de las PS3).

Andy's picture

Por favor, puntualiza

Enviado por Andy el 19 Febrero 2009 - 1:40pm.

Si SSL funcionara como debería, tu ISP NO podría leer tu contraseña, ya que viajaría encriptada desde tu PC hasta el servidor de destino.