El esquema de seguridad utilizado para encriptar información usada en el protocolo HTTP, llamado Secure Socket Layer (SSL), acaba de ser vulnerado al encontrársele un agujero de seguridad, dado a conocer en la última conferencia Black Hat el miércoles último en Washington.

SSLstrip trabaja en redes públicas Wi-Fi, sistemas onion-routing y similares. Este programa convierte páginas que están normalmente protegidas con SSL en versiones no encriptadas.

La presentación realizada por quien se presentó como Moxie Marlinspike es la última demostración de lo inseguro que puede resultar este protocolo SSL, la rutina de encriptación usada por diversidad de sitios para proteger información sobre claves, números de tarjetas de crédito y otro tipo de información sensible a ser interceptada y usada con fines … digamos, no muy éticos.

Según Marlinspike, esto es posible debido a que muchas páginas solo aplican el SSL a ciertas partes de una página web (como el acceso de inicio de sesión, por ejemplo) y no a toda la página entera.

Así que ya hicieron caer al SSL y sin uso de una gran tecnología ni similares (pues el mismo encargado del evento, el investigador Dan Kaminsky, dijo que se trataba de una técnica principiante pero interesante al mismo tiempo), habrá que revisar su trama y mejorar su proceso de encriptación.

Via: The Register

Etiquetas: ,

Comentarios ( 3 ) en: Hacker encuentra agujero de seguridad en el SSL
  • GeekMX dijo:

    Que no la vulnerabilidad ataca principalmente a los certificados firmados con MD5? o es una vulnerabilidad mas?

  • KnxDT dijo:

    Es una vulnerabilidad más, pero solo en redes que pueden interceptarse, no con ip’s privadas.

    Saludos :halo:

  • hector dijo:

    dios gracias y por estos lugares todavia no aparecen manes que estafen asi tan fuerte de manera electronica