Sin SSL ¿Y Ahora Quien Podrá Defendernos?

¿Y ahora quien podrá defendernos? Esa es la pregunta que muchos nos estamos formulando, después que Moxie Marlinspike publicara el SSLStrip  en el Black Hat 2009.  Herramienta que pone en duda la fiabilidad el protocolo de cifrado mas utilizado en Internet (SSL - Secure Socket Layer).

ssl-chapulin

SSLStrip es una herramienta que permite realizar un ataque "man-in-the-middle"  engañando al usuario para hacerlo creer que se encuentra en un sitio de Internet con cifrado SSL (HTTPS). En realidad tus datos se están transmitiendo sin cifrado alguno (HTTP), pero la cosa no para ahí, SSLStrip también permite  engañar el servidor HTTP, haciéndolo pensar que el cifrado ha sido anulado pero en realidad el sitio sigue como si todavía utilizara SSL.

Últimamente la seguridad del SSL ha sido atacada por todos los frentes, hace poco en la edición 25 del Chaos Computer Congress investigadores con la ayuda de varias consolas Play Station 3 lograron generar certificados SSL totalmente validos y ahora  Dan Kaminski con su herramienta SSLStrip nos recuerda que la época del SSL esta llegando a su fin y es necesaria una nueva tecnología mucho mas robusta.

Recuerdo que Buanzo en el  Segundo Encuentro Internacional de Seguridad Informática comentaba esta problemática y proponía como solución el enigform, un plugin para Firefox, el cual te permite firmar digitalmente todas las peticiones HTTP.

Les dejo una entrevista realizada por Jeff Moss (Fundador de Black Hat) a Moxie Marlinspike (Creador del SSLStrip)

Mas Información:
Presentacion en Black Hat
SSL-Strip en Kriptopolis
Articulo en Forbes
Enigform: Firefox Addon for OpenPGP signing of HTTP requests

Subir