Investigador muestra cómo hackear el SSL

Un investigador encontró una manera de hackear el protocolo Secure Sockets Layer (SSL) que se utiliza para brindar ingresos seguros a un rango de sitios, desde comercio electrónico hasta bancos. Mediante una aplicación especialmente creada, SSLstrip, el investigador que se presentó bajo el nombre de Moxie Marlinspike, demostró a los visitantes de la conferencia Black Hat cuan vulnerable es la seguridad de dichas conexiones.

Así, mostró cómo realizó un ataque denominado man-in-the-middle (MitM), en donde un hacker puede obtener tráfico proxy desde usuarios con ingreso seguro a sitios «https://«.

securityweb_92

Para probar el éxito del ataque, proclamó haber obtenido acceso a 117 cuentas de correo, 16 números de tarjetas de crédito, 7 ingresos a PayPal y más de 300 ingresos seguros en un período de 24 horas. Los sitios involucrados incluyen TicketMaster, PayPal, LinkedIn, Hotmail y Gmail.

El investigador no necesitó tocar el SSL encriptado, simplemente aprovechó el hecho de que los usuarios nunca ingresan al https directamente, en cambio siempre ingresan primero a una página http convencional. Este hecho hace posible monitorear el tráfico entre el navegador y el sitio antes que de el SSL asegure la conexión. Entonces, un punto importante en el que los desarrolladores deberían hacer énfasis son los indicadores visuales que, en general, ayudan al usuario común durante la navegación.

Fuente: PC World