El cifrado SSL HTTPS es vulnerable al ataque criptográfico

Cifrado SSL HTTPS Vulnerable a Crypto Attack

El cifrado SSL HTTPS es vulnerable al ataque criptográfico 1


El protocolo de cifrado de la capa de sockets seguros (SSL) y la seguridad de la capa de transporte (TLS), utilizado por millones de sitios web para proteger las comunicaciones web a través de HTTPS, es vulnerable a ser descifrado por los atacantes.

Los investigadores han descubierto una grave debilidad en prácticamente todos los sitios web protegidos por el protocolo de capa de conexión segura que permite a los atacantes descifrar silenciosamente los datos que pasan entre un servidor web y un navegador de usuario final.

Juliano Rizzo y Thai Duong dicen que la vulnerabilidad compromete TLS (Seguridad de la capa de transporte) 1.0, el mecanismo de cifrado que asegura los sitios web a los que se accede mediante HTTPS (Protocolo seguro de transferencia de hipertexto). TLS es el sucesor de SSL (Secure Sockets Layer) y se usa ampliamente en sitios financieros. Empresas, incluidas Google, Facebooky Twitter, instan a un uso más amplio de TLS en la Web.

El exploit: demostrado con una herramienta llamada BESTIA – apunta a un defecto que podría dejar las transacciones abiertas al ataque y las empresas de pagos en línea lo están tomando en serio “.Tenemos un equipo de personal de seguridad y siempre está trabajando en actualizaciones y mejoras y ya están investigando esto,“Un portavoz de PayPal le dijo a PC Pro”.Los detalles aún no se han revelado, pero la gente de seguridad está tratando de asegurarse de que esto se mantenga seguro.

BEAST requiere que los atacantes ganen una posición de hombre en el medio. La mayoría de las veces, esto significa que necesitan estar en la misma red que sus objetivos para poder interceptar las solicitudes del navegador. BESTA tiene dos componentes. Uno contiene código que debe cargarse en el navegador web de la víctima y el segundo captura y descifra las cookies de sesión HTTPS. Los investigadores afirman que pueden descifrar cualquier cookie de sesión segura en cinco minutos en promedio.