El cifrado SSL HTTPS es vulnerable al ataque criptogr√°fico

Cifrado SSL HTTPS Vulnerable a Crypto Attack

El cifrado SSL HTTPS es vulnerable al ataque criptogr√°fico 1


El protocolo de cifrado de la capa de sockets seguros (SSL) y la seguridad de la capa de transporte (TLS), utilizado por millones de sitios web para proteger las comunicaciones web a través de HTTPS, es vulnerable a ser descifrado por los atacantes.

Los investigadores han descubierto una grave debilidad en prácticamente todos los sitios web protegidos por el protocolo de capa de conexión segura que permite a los atacantes descifrar silenciosamente los datos que pasan entre un servidor web y un navegador de usuario final.

Juliano Rizzo y Thai Duong dicen que la vulnerabilidad compromete TLS (Seguridad de la capa de transporte) 1.0, el mecanismo de cifrado que asegura los sitios web a los que se accede mediante HTTPS (Protocolo seguro de transferencia de hipertexto). TLS es el sucesor de SSL (Secure Sockets Layer) y se usa ampliamente en sitios financieros. Empresas, incluidas Google, Facebooky Twitter, instan a un uso m√°s amplio de TLS en la Web.

El exploit: demostrado con una herramienta llamada BESTIA – apunta a un defecto que podr√≠a dejar las transacciones abiertas al ataque y las empresas de pagos en l√≠nea lo est√°n tomando en serio “.Tenemos un equipo de personal de seguridad y siempre est√° trabajando en actualizaciones y mejoras y ya est√°n investigando esto,“Un portavoz de PayPal le dijo a PC Pro”.Los detalles a√ļn no se han revelado, pero la gente de seguridad est√° tratando de asegurarse de que esto se mantenga seguro.

BEAST requiere que los atacantes ganen una posición de hombre en el medio. La mayoría de las veces, esto significa que necesitan estar en la misma red que sus objetivos para poder interceptar las solicitudes del navegador. BESTA tiene dos componentes. Uno contiene código que debe cargarse en el navegador web de la víctima y el segundo captura y descifra las cookies de sesión HTTPS. Los investigadores afirman que pueden descifrar cualquier cookie de sesión segura en cinco minutos en promedio.