Desaconsejan confianza a ciegas en el candado de SSL
Publicado: February 25th, 2009SSL (Secure Socket Layer), el sistema más usado en el mundo para el cifrado de datos transmitidos vía redes informáticas, ya no es totalmente seguro. Hacker ha logrado vulnerarlo con una combinación de ingeniería social y software.
En el marco de la conferencia Black Hat, realizada en Washington DC, Estados Unidos, el hacker Moxie Marlinspike demostró la forma en que un software, combinado con técnicas de phishing (en que se induce a un usuario a acceder a un sitio adulterado), hace posible acceder subrepticiamente al sistema SSL.
El hacker demostró además un procedimiento que le permitió apoderarse de 16 números de tarjetas de crédito, acceder a 117 cuentas de Gmail e ingresar a 300 otras áreas cifradas de Internet.
Esto significa, en los hechos, que el símbolo del candado que parece en el extremo inferior derecho del navegador cuando el usuario se conecta a un sitio seguro con dirección https ha dejado de ser seguro.
Marlinspike usó el programa gratuito "SSL Strip", instalándolo como "unidad intermedia" entre la conexión SSL y el usuario, rompiendo así la cadena de seguridad de la cual hasta ahora han dependido los pagos seguros en línea.
Las direcciones de sitios corrientes comienzan con "http", en tanto que las páginas que transportan información cifrada comienzan con "https", donde la letra "s" significa "seguridad". Al usar una página https falsa, Marlinspike engañó al usuario, haciéndole creer que se estaba conectando a una página segura.
El hacker aseguró en la conferencia haber usado las páginas del sitio de pagos PayPal para obtener la información del caso. Aparte de ello habría usado Facebook, Gmail y sitio de venta de billetes Ticketmaster.
Marlinspike aseguró haberse apropiado mediante estos sitios de la información de los usuarios, lo que le permitió a acceder a 117 cuentas de correo electrónico Gmail.
El hacker demostró además un procedimiento que le permitió apoderarse de 16 números de tarjetas de crédito, acceder a 117 cuentas de Gmail e ingresar a 300 otras áreas cifradas de Internet.
Esto significa, en los hechos, que el símbolo del candado que parece en el extremo inferior derecho del navegador cuando el usuario se conecta a un sitio seguro con dirección https ha dejado de ser seguro.
Marlinspike usó el programa gratuito "SSL Strip", instalándolo como "unidad intermedia" entre la conexión SSL y el usuario, rompiendo así la cadena de seguridad de la cual hasta ahora han dependido los pagos seguros en línea.
Las direcciones de sitios corrientes comienzan con "http", en tanto que las páginas que transportan información cifrada comienzan con "https", donde la letra "s" significa "seguridad". Al usar una página https falsa, Marlinspike engañó al usuario, haciéndole creer que se estaba conectando a una página segura.
El hacker aseguró en la conferencia haber usado las páginas del sitio de pagos PayPal para obtener la información del caso. Aparte de ello habría usado Facebook, Gmail y sitio de venta de billetes Ticketmaster.
Marlinspike aseguró haberse apropiado mediante estos sitios de la información de los usuarios, lo que le permitió a acceder a 117 cuentas de correo electrónico Gmail.
Enviado por: SF Stuff
