Rompen el cifrado SSL/TLS y Chrome dice ya haberlo solucionado
Como ya habiamos informado, dos investigadores afirman haber encontrado la manera de romper el cifrado SSL/TLS, utilizado para garantizar la fiabilidad y privacidad de los datos que se intercambian entre los navegadores web y los servidores.
Los investigadores, Thai Duong and Juliano Rizzo, han demostrado su Browser Exploit Against SSL/TLS (Beast) en la conferencia de seguridad Ekoparty. Aquí se explica el funcionamiento del ataque y de la herramienta BEAST (Imagen).
Las dos últimas versiones (1.1 y 1.2) de, protocolo de cifrado TLS no son vulnerables al exploit, pero la mayoría de las páginas web, servicios de mensajería instantánea y VPNs está utilizando la versión 1.0, que sí es vulnerable, porque es compatible con una amplia variedad de tecnologías web.
El Beast consiste en código JavaScript que funciona con un ‘sniffer’ de red para descifrar las cookies que llevan las credenciales de los usuarios para acceder a las cuentas.
A diferencia de la mayoría de los ataques publicados contra HTTPS que se centran en la autenticación adecuada de SSL, Beast ataca la confidencialidad del protocolo, han explicado ambos investigadores a The Register, que aseguran además que BEAST implementa el primer ataque que actualmente descifra peticiones HTTPS.
Los investigadores han anunciado que están trabajando con proveedores de navegadores e incluso Chrome dice ya haberlo solucionado con 20 líneas de código el pasado 20 de septiembre. Sin embargo los investigadores dicen que algunos parches propuestos han resultado ser incompatibles con algunas aplicaciones SSL actuales.
Fuente: The Register I y II
Los investigadores, Thai Duong and Juliano Rizzo, han demostrado su Browser Exploit Against SSL/TLS (Beast) en la conferencia de seguridad Ekoparty. Aquí se explica el funcionamiento del ataque y de la herramienta BEAST (Imagen).
Las dos últimas versiones (1.1 y 1.2) de, protocolo de cifrado TLS no son vulnerables al exploit, pero la mayoría de las páginas web, servicios de mensajería instantánea y VPNs está utilizando la versión 1.0, que sí es vulnerable, porque es compatible con una amplia variedad de tecnologías web.
El Beast consiste en código JavaScript que funciona con un ‘sniffer’ de red para descifrar las cookies que llevan las credenciales de los usuarios para acceder a las cuentas.
A diferencia de la mayoría de los ataques publicados contra HTTPS que se centran en la autenticación adecuada de SSL, Beast ataca la confidencialidad del protocolo, han explicado ambos investigadores a The Register, que aseguran además que BEAST implementa el primer ataque que actualmente descifra peticiones HTTPS.
Los investigadores han anunciado que están trabajando con proveedores de navegadores e incluso Chrome dice ya haberlo solucionado con 20 líneas de código el pasado 20 de septiembre. Sin embargo los investigadores dicen que algunos parches propuestos han resultado ser incompatibles con algunas aplicaciones SSL actuales.
Fuente: The Register I y II
0 Comments:
Publicar un comentario
Gracias por dejar un comentario en Segu-Info.
Gracias por comentar!