Enlaces Patrocinados:
El esquema de seguridad utilizado para encriptar información usada en el protocolo HTTP, llamado Secure Socket Layer (SSL), acaba de ser vulnerado al encontrársele un agujero de seguridad, dado a conocer en la última conferencia Black Hat el miércoles último en Washington.
SSLstrip trabaja en redes públicas Wi-Fi, sistemas onion-routing y similares. Este programa convierte páginas que están normalmente protegidas con SSL en versiones no encriptadas.
La presentación realizada por quien se presentó como Moxie Marlinspike es la última demostración de lo inseguro que puede resultar este protocolo SSL, la rutina de encriptación usada por diversidad de sitios para proteger información sobre claves, números de tarjetas de crédito y otro tipo de información sensible a ser interceptada y usada con fines … digamos, no muy éticos.
Según Marlinspike, esto es posible debido a que muchas páginas solo aplican el SSL a ciertas partes de una página web (como el acceso de inicio de sesión, por ejemplo) y no a toda la página entera.
Así que ya hicieron caer al SSL y sin uso de una gran tecnología ni similares (pues el mismo encargado del evento, el investigador Dan Kaminsky, dijo que se trataba de una técnica principiante pero interesante al mismo tiempo), habrá que revisar su trama y mejorar su proceso de encriptación.
Via: The Register
March 2nd, 2009 at 1:23 pm
Que no la vulnerabilidad ataca principalmente a los certificados firmados con MD5? o es una vulnerabilidad mas?
March 2nd, 2009 at 8:17 pm
Es una vulnerabilidad más, pero solo en redes que pueden interceptarse, no con ip’s privadas.
Saludos :halo:
March 3rd, 2009 at 7:08 pm
dios gracias y por estos lugares todavia no aparecen manes que estafen asi tan fuerte de manera electronica