Written by: on 16/09/2011 @ 08:00

Ayer teniamos una discusion en Entornos acerca de la seguridad a la hora de acceder a tu cuenta de Gmail, o cualquiera con HTTPS, alegando que cualquier aplicacion web protegida mediante cifrado SSL es segura, e imposible de vulnerar, sobre todo con los nuevos sistemas de doble autenticación. Nada mas lejos de la realidad.

 

Una interesante herramienta ronda la red llamada «Surf Jack«, que demuestra una falla de seguridad al acceder desde lugares no seguros.. La prueba de concepto herramienta permite a los probadores para robar las cookies de sesión en sitios HTTP y HTTPS que no establecen la bandera segura. Puede descargar la herramienta desde aquí y un documento con más detalles sobre el tema.

 

A continuación Sandro Gauci nos ofrece el siguiente vídeo realizando esta prueba sobre una cuenta Gmail y cómo evitar caer en la trampa.

 

 

 

Por lo tanto, aunque estés cansado de oírlo, no conectes a redes inseguras, no entres en lugares que tengas que introducir datos personales, ……

 

Catogories: GNU/Linux, Seguridad

3 Responses

  1. Craswer dice:

    Por lo que veo en el video, en realidad no se rompe el https.

    Cuando entra la primera vez (por https) el script lo que hace es que cuando visite la siguiente pagina web (da lo mismo cual sea) entre a gmail sin https. Aquí si hace el robo de sesión (pero en la página con http).

    Sin embargo, cuando entra la víctima con la opción de «solo https», el propio vídeo dice que el script no funciona!

    Ale, ya te dejo faena para este fin de semana 😛

  2. thempra dice:

    La cosa se va poniendo interesante con el tiempo:

    Este viernes, durante la séptima edición de la Ekoparty en Buenos Aires, ambos investigadores presentarán BEAST (Browser Exploit Against SSL / TLS), un exploit formado por código Javascript y un sniffer de red que captura y desencripta los tokens de autenticación o las cookies de un usuario que accede a un sitio web seguro. Concretamente y según Duong, la PoC consistirá en descifrar una cookie de autenticación usada para acceder a una cuenta de Paypal.

    http://hackplayers.blogspot.com/2011/09/vulnerabilidad-en-https-que-afecta.html?m=1

  3. Según el tutorial, la fecha es «Date: 10 August 2008», algo antiguo, más que nada es la misma técnica del sidejacking con ferret y hamster de Robert Graham, expuesta en la Black Hat Hacker del 2007.

    Saludos!

Leave a Reply to thempra