Moxie Marlinspike acaba de presentar en Black Hat su ingeniosa herramienta SSLStrip, dirigida a hacer creer al usuario que se encuentra en un sitio web con cifrado SSL cuando en realidad todos los datos están siendo transmitidos en abierto. Adicionalmente, SSLStrip también engaña al servidor web, cuyo presunto cifrado queda anulado aunque el sitio sigue comportándose como si funcionara.
SSLStrip ha sido bendecido por Dan Kaminski, quien lo considera un ataque novedoso e interesante. Para Kaminski, SSLStrip viene a confirmar algo que ya sabíamos: que SSL no funciona demasiado bien...
El ataque (que aprovecha el momento de paso de http a https al acceder a una página de login, por ejemplo) se ha mostrado eficaz en Firefox y Safari, y aún no se ha probado en Explorer. El autor afirma haber configurado un servidor Tor "cifrado" mediante el que en un solo día recolectó 254 contraseñas de acceso a Gmail, Paypal, Yahoo, etc.
Para el creador de SSLStrip la única solución posible es cifrarlo absolutamente todo.
No hay comentarios:
Publicar un comentario