• Registrarse
  • Iniciar sesión


  • Resultados 1 al 4 de 4

    Las páginas web seguras no lo son tanto

    Un investigador ha encontrado una manera de romper el protocolo de seguridad Secure Sockets Layer (SSL), utilizado para acceso seguro a multitud de páginas web, incluyendo bancos y sitios de comercio electrónico, pero también de ...

          
    1. #1
      Usuario Avatar de Velcro
      Registrado
      ene 2008
      Ubicación
      Donde me plazca
      Mensajes
      982

      Atención Las páginas web seguras no lo son tanto



      Un investigador ha encontrado una manera de romper el protocolo de seguridad Secure Sockets Layer (SSL), utilizado para acceso seguro a multitud de páginas web, incluyendo bancos y sitios de comercio electrónico, pero también de correo electrónico como Hotmail y Gmail.

      El protocolo Secure Sockets Layer (SSL), utilizado en muchas páginas web (como bancos y sitios de comercio electrónico) puede ser corrompido, tal y como ha demostrado un investigador de seguridad.

      Utilizando una aplicación especialmente creada, SSLstrip, un investigador que se llama a sí mismo Moxie Marlinspike ha demostrado en una conferencia lo vulnerables que son las conexiones SSL a un ataque del tipo man-in-the-middle (MitM), en el que un pirata puede apoderarse del tráfico de los usuarios que acceden a sitios seguros (del tipo https).

      Para probar la efectividad del ataque, este investigador se hizo pasar por un atacante y consiguió 117 cuentas de correo electrónico, 16 números de tarjetas de crédito, 7 contraseñas de PayPal y otras 300 cuentas de acceso seguro a diversas páginas web en 24 horas. Entre las páginas web comprometidas se encontraban Paypal, LinkedIn, Hotmail y Gmail.

      Además, el atacante no necesita modificar el tráfico SSL encriptado, sino simplemente sacar partido de que los usuarios casi nunca se conectan directamente a los sitios seguros https, sino que primero acceden desde una página normal (http). Esto hace que sea posible hacer un seguimiento del tráfico entre en la navegador y la web antes de que SSL se establezca de manera segura, lo que le deja al usuario entre las dos opciones y el atacante puede hacer sus fechorías sin que el usuario se percate de ello.

      Según Marlinspike, el atacante también puede evitar que el navegador genere una alerta de certificado no válido. La única señal de que algo no está funcionando correctamente es el hecho de que no aparezca en la barra del navegador el protocolo https, que indica que estamos accediendo a un sitio seguro. Sin embargo, muchos usuarios no se percatan de este dato.

      Fuente

    2. #2
      Ex-Colaborador Avatar de MarinTai
      Registrado
      nov 2007
      Ubicación
      Barcelona
      Mensajes
      5.233

      Re: Las páginas web seguras no lo son tanto

      En verdad ninguna página es 100% segura. Siempre hay alguna vulnerabilidad por pequeña que sea aunque ese sitio diga que es seguro.
      Mirad los casos del gran colisionador de hadrones, facebook, twitter, hotmail, etc todas estás páginas en algún momento han sido víctimas de ataques

      Salu2
      <Una gran victoria conlleva un gran sacrificio>

      * Síguenos en nuestro Twitter y hazte nuestro amigo en Facebook.
      * Infórmate de las últimas amenazas de la red desde: InfoSpyware Blog
      * No se resuelven dudas por privados ni por e-mail, ya que para eso está el foro.

    3. #3
      Ex-Colaborador Avatar de Hardrive
      Registrado
      abr 2006
      Ubicación
      Argentina
      Mensajes
      4.641

      Re: Las páginas web seguras no lo son tanto

      Hola

      La información dada en la noticia es incorrecta. No es ni una vulnerabilidad de SSL ni un problema de las páginas web, es un más que nada un problema de los navegadores combinado con una estrategia de phishing, que en pocas palabras, hace creer al usuario que está en una página segura (con protocolo https) cuando no lo está, y eso permite engañar al usuario haciendo que este mismo ingrese una contraseña en un sitio falso (viejo truco) pero esta vez aparentando ser un sitio con SSL.

      No es nada del otro mundo, solo es un conjunto de técnicas viejas que dan buen resultado.

      Si quieren una buena fuente pueden leer los artículos de Hispasec, que además de ser completos y buenos están en español:
      El SSL no está roto... ¿o sí? (I) - Hispasec - Una al día 23/02/2009
      El SSL no está roto... ¿o sí? (y II) - Hispasec - Una al día 24/02/2009

      Recomiendo que editen el tema y pongan lo correcto.


      Salu2
      Linux User Registered #451400

    4. #4
      Baneado Avatar de ZlobTrojan
      Registrado
      oct 2008
      Ubicación
      En Internet
      Mensajes
      73

      Re: Las páginas web seguras no lo son tanto

      Joer, esta clarisimo que ninguna web es 100 x 100 segura, ni siquiera Google o la web del propio Microsoft.

      A tener cuidado.