Sin SSL ¿Y Ahora Quien Podrá Defendernos?

DragonJAR 336x280 Sin SSL ¿Y Ahora Quien Podrá Defendernos?

¿Y ahora quien podrá defendernos? Esa es la pregunta que muchos nos estamos formulando, después que Moxie Marlinspike publicara el SSLStrip  en el Black Hat 2009.  Herramienta que pone en duda la fiabilidad el protocolo de mas utilizado en (SSL – Secure Socket Layer).

sslmo9 Sin SSL ¿Y Ahora Quien Podrá Defendernos?

SSLStrip es una herramienta que permite realizar un ataque “man-in-the-middle”  engañando al usuario para hacerlo creer que se encuentra en un sitio de Internet con cifrado (HTTPS). En realidad tus se están transmitiendo sin cifrado alguno (HTTP), pero la cosa no para ahí, SSLStrip también permite  engañar el servidor HTTP, haciéndolo pensar que el cifrado ha sido anulado pero en realidad el sitio sigue como si todavía utilizara .

Últimamente la del SSL ha sido atacada por todos los frentes, hace poco en la edición 25 del Chaos Computer Congress investigadores con la ayuda de varias consolas Play Station 3 lograron generar certificados SSL totalmente validos y ahora  Dan Kaminski con su herramienta SSLStrip nos recuerda que la época del SSL esta llegando a su fin y es necesaria una nueva tecnología mucho mas robusta.

Recuerdo que Buanzo en el  Segundo Encuentro Internacional de Seguridad Informática comentaba esta problemática y proponía como solución el enigform, un plugin para Firefox, el cual te permite firmar digitalmente todas las peticiones HTTP.

Les dejo una entrevista realizada por (Fundador de ) a Moxie Marlinspike (Creador del SSLStrip)

Mas Información:
Presentacion en Black Hat
SSL-Strip en Kriptopolis
Articulo en Forbes
Enigform: Firefox Addon for OpenPGP signing of HTTP requests


Si te ha gustado el post, compartelo y ayudanos a crecer.

Unete a nuestra Fanpage Siguenos en Twitter

Autor: DragoN

Ingeniero en Sistemas y Telecomunicaciones de la Universidad de Manizales. Information Security Researcher con más de 10 años de experiencias en Ethical Hacking, Pen Testing y Análisis Forense. Docente Universitario en Pre y Post-Grado, Speaker y Organizador de diferentes eventos de Seguridad Informática, Co-Fundador del ACK Security Conference y Fundador de DragonJAR SAS y de La Comunidad DragonJAR, una de las comunidades de seguridad informática mas grandes de habla hispana y referente en el sector.

Compartir este Artículo
  • http://www.msn.com Lenin

    ishhh grave el asunto…. deben estar asustadas las entidades bancarias….

  • http://www.dragonjar.org DragoN

    las entidades bancarias demás que ni se han enterado, los que debemos estar preocupados somos los usuarios ya que no podemos confiar en ningún sitio así tenga su respectivo certificado.

  • http://blogs.buanzo.com.ar Buanzo

    Como dato, les comento que he liberado un plugin para WordPress ayer 9 de marzo 2009 para soportar autenticacion Enigform en wordpress. :)

  • Pingback: SSLStrip – Espiando tráfico SSL

  • http://SitioWeb(opcional) edwin toledo huillca

    la seguridad de información es lo básico en un sitio o plataforma de trabajo