Por Javier Nones , el lunes, 19 de septiembre de 2011 |
La vulnerabilidad ha sido descubierta en la version 1.0 de TLS y anteriores, las mismas que son utilizadas por la mayoría de sitios en internet que requieren un sistema de seguridad. Bancos, sistemas de pagos en línea, como Paypal, y todos aquellos sitios que usen el protocolo seguro (ahora no tan seguro) HTTPS, ahora son vulnerables. Los datos que se transmitan entre estos sitios y sus visitantes ahora podrán ser monitorizados por hackers.
Los investigadores Thai Duong y Juliano Rizzo, que han hallado la forma de romper HTTPS, van a probar que esto es posible mediante un exploit que intercepta la comunicación entre un sitio web y un usuario final, en una conferencia a desarrollarse esta semana en Buenos Aires.
Este exploit bautizado como BEAST (Browser Exploit Against SSL / TLS) está formado por código Javascript y un sniffer de red que desencripta las cookies encriptadas de un sitio web y concede acceso a cuentas de usuarios restringidas.
En la demostración se desencriptará una cookie de autenticación usada para acceder a una cuenta de Paypal, dijo Duong.
Si bien se trata de una alarmante noticia para clientes y sitios web que manejan transacciones en línea, no todo está perdido. Aunque la versión 1.0 y anteriores de TLS son vulnerables a este tipo de ataques, las versiones posteriores no tienen este inconveniente. El problema está en que la mayoría de sitios web y navegadores no utilizan estas versiones de TLS. Será necesario ir pensando en una actualización a nivel general.
Hackers rompen HTTPS | Visto en Theregister