Por Javier Nones , el lunes, 19 de septiembre de 2011 |
El protocolo seguro de internet, HTTPS, usado por millones de sitios en internet, ha sido roto por hackers que han descubierto debilidades en el sistema TLS (parte de HTTPS).
La vulnerabilidad ha sido descubierta en la version 1.0 de TLS y anteriores, las mismas que son utilizadas por la mayoría de sitios en internet que requieren un sistema de seguridad. Bancos, sistemas de pagos en línea, como Paypal, y todos aquellos sitios que usen el protocolo seguro (ahora no tan seguro) HTTPS, ahora son vulnerables. Los datos que se transmitan entre estos sitios y sus visitantes ahora podrán ser monitorizados por hackers.
Los investigadores Thai Duong y Juliano Rizzo, que han hallado la forma de romper HTTPS, van a probar que esto es posible mediante un exploit que intercepta la comunicación entre un sitio web y un usuario final, en una conferencia a desarrollarse esta semana en Buenos Aires.
Este exploit bautizado como BEAST (Browser Exploit Against SSL / TLS) está formado por código Javascript y un sniffer de red que desencripta las cookies encriptadas de un sitio web y concede acceso a cuentas de usuarios restringidas.
En la demostración se desencriptará una cookie de autenticación usada para acceder a una cuenta de Paypal, dijo Duong.
Si bien se trata de una alarmante noticia para clientes y sitios web que manejan transacciones en línea, no todo está perdido. Aunque la versión 1.0 y anteriores de TLS son vulnerables a este tipo de ataques, las versiones posteriores no tienen este inconveniente. El problema está en que la mayoría de sitios web y navegadores no utilizan estas versiones de TLS. Será necesario ir pensando en una actualización a nivel general.
Hackers rompen HTTPS | Visto en Theregister
