Entries (RSS)
Feb 20

Sin SSL ¿Y Ahora Quien Podrá Defendernos? Publicada por DragoN en Artículos sobre seguridad, Herramientas Seguridad .


¿Y ahora quien podrá defendernos? Esa es la pregunta que muchos nos estamos formulando, después que Moxie Marlinspike publicara el SSLStrip  en el Black Hat 2009Herramienta que pone en duda la fiabilidad el protocolo de cifrado mas utilizado en Internet (SSL – Secure Socket Layer).

SSL Inseguro

SSLStrip es una herramienta que permite realizar un ataque “man-in-the-middle”  engañando al usuario para hacerlo creer que se encuentra en un sitio de Internet con cifrado SSL (HTTPS). En realidad tus datos se están transmitiendo sin cifrado alguno (HTTP), pero la cosa no para ahí, SSLStrip también permite  engañar el servidor HTTP, haciéndolo pensar que el cifrado ha sido anulado pero en realidad el sitio sigue como si todavía utilizara SSL.

Últimamente la seguridad del SSL ha sido atacada por todos los frentes, hace poco en la edición 25 del Chaos Computer Congress investigadores con la ayuda de varias consolas Play Station 3 lograron generar certificados SSL totalmente validos y ahora  Dan Kaminski con su herramienta SSLStrip nos recuerda que la época del SSL esta llegando a su fin y es necesaria una nueva tecnología mucho mas robusta.

Recuerdo que Buanzo en el  Segundo Encuentro Internacional de Seguridad Informática comentaba esta problemática y proponía como solución el enigform, un plugin para Firefox, el cual te permite firmar digitalmente todas las peticiones HTTP.

Les dejo una entrevista realizada por Jeff Moss (Fundador de Black Hat) a Moxie Marlinspike (Creador del SSLStrip)

Mas Información:
Presentacion en Black Hat
SSL-Strip en Kriptopolis
Articulo en Forbes
Enigform: Firefox Addon for OpenPGP signing of HTTP requests

Envíale este Articulo a Tus Amigos

Tags:

3 Responses to “Sin SSL ¿Y Ahora Quien Podrá Defendernos?”

  1. 1
    Lenin Says:
    Febrero 21st, 2009 at 12:13 PM

    ishhh grave el asunto…. deben estar asustadas las entidades bancarias….

  2. 2
    DragoN Says:
    Febrero 21st, 2009 at 3:25 PM

    las entidades bancarias demás que ni se han enterado, los que debemos estar preocupados somos los usuarios ya que no podemos confiar en ningún sitio así tenga su respectivo certificado.

  3. 3
    Buanzo Says:
    Marzo 10th, 2009 at 4:34 PM

    Como dato, les comento que he liberado un plugin para Wordpress ayer 9 de marzo 2009 para soportar autenticacion Enigform en wordpress. :)

Leave a Reply


  • Acerca de…

    DragonJAR.org es una comunidad de investigadores, estudiantes, profesionales y entusiastas de la Seguridad Informática, En la cual se busca darle un enfoque eminentemente práctico a la teoría sin olvidar las bases esenciales de esta. De esta manera se Tratará de ofrecer soluciones útiles a los usuarios, tanto novatos, estudiantes, como a los profesionales e investigadores, Teniendo presente que el mundo de la seguridad informática y la información es un medio que se auto inventa constantemente.



  • Technology Top Technology blogs BlogESfera Directorio de Blogs Hispanos - Agrega tu Blog Hihera.com TopOfBlogs blog Galaxia Galaxia Linux