Seguridad de SSL quebrada

24/02/2009 - Moxie Marlinspik ha conseguido burlar la seguridad de las páginas SSL de una manera novedosa, con lo que queda en entredicho algunos usos del protocolo de seguridad.

Y es que resulta que esta persona ha conseguido encontrar una manera de romper la seguridad de las conexiones SSL y con ello acceder a los datos que envían los usuarios a través de este protocolo. Los datos viajan encriptados con SSL, pero en determinadas ocasiones se puede robar cualquier tipo de información crítica.

Para ello esta persona ha creado un programa llamado SSLstrip que se encarga de robar la información privada y para demostrar su uso durante el congreso Black Hat consiguió obtener varias claves de usuario, tarjetas de crédito o contraseñas Paypal.

Pero atención, porque el fallo de seguridad no está en el SSL propiamente dicho, sino que lo consigue a través de emular una conexión segura, cuando en realidad todos los datos están viajando sin estar encriptados. El programa además consigue que el navegador no reconozca el problema y parece que el usuario está perfectamente protegido.

Según leemos en Kriptópolis http://www.kriptopolis.org/ssl-strip este problema de seguridad ocurre en las páginas que trabajan con conexiones http normales. En este caso SSLstrip debe conseguir ponerse en marcha antes de que esa web pase a trabajar con SSL. La solución pasa por hacer todas las conexiones SSL.