El SSL Strip: un agujero peligroso...


para aquellos que no saben el SSL (Secure Socket Layer), es un sistema informático de seguridad que permite encriptar de manera “segura” sus datos privados mientras navega por Internet, es decir; cuando ingresamos a Internet y vamos a una pagina donde se piden datos personales ella pide un certificado de aceptación para saber si la pagina es o no segura, y esta se manifiesta con un candado cerrado al final o comienzo de la barra y además el protocolo se le es agregado una S es decir de HTTP pasa a HTTPS, con esto sus datos quedaran protegidos por este sistema de encriptación y Ud. puede navegar de manera “segura”.



Bueno ya explicado coloquialmente lo que es el SSL, se les informa que en el Black Hat DC 2009, "Moxie Marlinspike" ha presentado un nuevo fallo o agujero en el SSL, el SSL Strip el cual consiste en como su nombre lo dice remover el SSL, y como pasa esto bueno como se comento al comienzo al solicitar una pagina Web segura esta pagina envía una solicitud de certificación para que sus datos queden protegidos de cualquier ataque externo, cuando la solicitud es aceptada y certificada como segura esta envía una pagina HTTPS; bueno el SSL Strip lo único que hace por medio de una técnica llamada “Ataque del Hombre en el Medio”, intercepta esta solicitud y la enmascara por así decirlo y en vez de devolver una pagina protegida es decir una HTTPS envía una pagina HTTP la cual es vulnerable a cualquier ataque externo.

Esta nueva presentación dada por Moxie nos da a entender la creciente vulnerabilidad de los certificados SSL, los cuales ahora son en una magnitud inmensa alterables, modificables y alterables como no se tiene idea.

Esta nueva técnica menciona Moxie que es eficaz, esto es remitido a SIMPLES pruebas que Moxie hizo propiamente en 24 horas obtuvo más de 300 contraseñas de diferentes servicios, desde Google Mail hasta PayPal.

Moxie expuso que una única solución por el momento es encriptar todas las conexiones es decir, que en vez de haber páginas no cifradas HTTP, hayan únicamente solo paginas protegidas donde siempre aparezca HTTPS, esto reduciría los riesgos de seguridad, sin embargo menciona que esto no es totalmente seguro ya que un protocolo seguro que depende e un protocolo inseguro es presa fácil.