Sin SSL ¿Y Ahora Quien Podrá Defendernos?

20 febrero 2009 5 Comentarios


¿Y ahora quien podrá defendernos? Esa es la pregunta que muchos nos estamos formulando, después que Moxie Marlinspike publicara el SSLStrip  en el Black Hat 2009.  Herramienta que pone en duda la fiabilidad el protocolo de mas utilizado en (SSL – Secure Socket Layer).

SSLStrip es una herramienta que permite realizar un ataque “man-in-the-middle”  engañando al usuario para hacerlo creer que se encuentra en un sitio de Internet con cifrado (HTTPS). En realidad tus se están transmitiendo sin cifrado alguno (HTTP), pero la cosa no para ahí, SSLStrip también permite  engañar el servidor HTTP, haciéndolo pensar que el cifrado ha sido anulado pero en realidad el sitio sigue como si todavía utilizara SSL.

Últimamente la del SSL ha sido atacada por todos los frentes, hace poco en la edición 25 del Chaos Computer Congress investigadores con la ayuda de varias consolas Play Station 3 lograron generar certificados SSL totalmente validos y ahora  Dan Kaminski con su herramienta SSLStrip nos recuerda que la época del SSL esta llegando a su fin y es necesaria una nueva tecnología mucho mas robusta.

Recuerdo que Buanzo en el  Segundo Encuentro Internacional de Seguridad Informática comentaba esta problemática y proponía como solución el enigform, un plugin para Firefox, el cual te permite firmar digitalmente todas las peticiones HTTP.

Les dejo una entrevista realizada por (Fundador de ) a Moxie Marlinspike (Creador del SSLStrip)

Mas Información:
Presentacion en Black Hat
SSL-Strip en Kriptopolis
Articulo en Forbes
Enigform: Firefox Addon for OpenPGP signing of HTTP requests

Si te ha gustado el post, compartelo y ayudanos a crecer.

Unete a nuestra Fanpage Siguenos en Twitter

También puede interesarte...

Zemanta
Twitter Digg Delicious Stumbleupon Technorati Facebook Email
Artículos sobre seguridad, Herramientas Seguridad
, , , , , , , , ,

About DragoN

Ingeniero en Sistemas y Telecomunicaciones de la Universidad de Manizales. Information Security Researcher con más de 10 años de experiencias en Ethical Hacking, Pen Testing y Análisis Forense. Docente Universitario en Pre y Post-Grado, Speaker y Organizador de diferentes eventos de Seguridad Informática, Co-Fundador del ACK Security Conference y Creador de La Comunidad DragonJAR, una de las comunidades de seguridad informática mas grandes de habla hispana y referente en el sector.
View all posts by DragoN

5 Respuestas para “Sin SSL ¿Y Ahora Quien Podrá Defendernos?”

  1. Lenin Responder 21 febrero 2009 en 12:13 PM

    ishhh grave el asunto…. deben estar asustadas las entidades bancarias….

  2. DragoN Responder 21 febrero 2009 en 3:25 PM

    las entidades bancarias demás que ni se han enterado, los que debemos estar preocupados somos los usuarios ya que no podemos confiar en ningún sitio así tenga su respectivo certificado.

  3. Buanzo Responder 10 marzo 2009 en 4:34 PM

    Como dato, les comento que he liberado un plugin para WordPress ayer 9 de marzo 2009 para soportar autenticacion Enigform en wordpress.

  4. edwin toledo huillca Responder 11 octubre 2010 en 6:03 PM

    la seguridad de información es lo básico en un sitio o plataforma de trabajo

Trackbacks/Pingbacks

  1. SSLStrip – Espiando tráfico SSL - 7 junio 2010

    [...] Desde que Moxie Moulinsart mostró su SSLStrip en Blackhat, el MODO PARANOICO de muchas personas quedó encendido y no es para menos, ya que con esta herramienta cualquier persona puede espiar tu trafico SSL sin problemas. [...]

Dejar un Comentario