Blog de Matias Katz Info de IT para la gente Comun, Info Comun para la gente de IT

14oct/090

HTTPS ya no es más sinónimo de Seguridad

El método mas utilizado para prevenir ataques de phishing a sitios online importantes es la revisión del uso de SSL en la transacción, mediante el checkeo de la letra "S" al final del "HTTP" en la barra de dirección:

https

El uso de SSL significa que la transacción se llevaría a cabo de manera encriptada, asegurando así la información en cuestión.

Recientemente se publicó la noticia de que Microsoft aceptaría como válidos los certificados emitidos por StartCom, empresa que provee certificados SSL de manera gratuita.

Esto presenta un grave problema, ya que hasta ahora el hecho de que un sitio tuviera SSL significaba una tranquilidad para el usuario, porque para obtener un certificado de un ente avalado por Microsoft había que cumplir ciertas regulaciones y presentar información de la persona/empresa que peticionaba.

Al poder cualquiera obtener un certificado de una empresa certificada por Microsoft, se habilita a un atacante a generar un sitio de phising que incluya SSL como un método mas de confusión y engaño, ya que aunque la información se traslade encriptada, al momento de llegar al servidor de destino dicha información es desencriptada.

Los navegadores menos difundidos, como ser Firefox o Chrome, ya aceptaban estos certificados con anterioridad.

https2

Pero el gran problema pasa cuando el grande de grandes, Microsoft, cuyo navegador web es utilizado por el mayor porcentaje de usuarios de la web (y por ende mayor porcentaje de potenciales víctimas) cae dentro del grupo de navegadores que aceptan como válidos los certificados obtenidos gratuita y libremente.

Gracias a esto (o por culpa de esto) se establecieron nuevos standards para los conceptos de SSL:

  • Al acceder a un sitio que posea un formulario donde se ingresa información personal, debe verificarse que el mismo utilice el protocolo HTTPS --- VERDADERO
  • Un sitio donde se ingresa información confidencial que no posee HTTPS no es seguro --- VERDADERO
  • Utilizando el protocolo HTTPS, la información es cifrada --- VERDADERO
  • Siempre que un sitio posea HTTPS será seguro --- FALSO

Video demostración del ataque:

Fuente: ESET

Saludos / Regards,

Matias Katz
IT Consultant

Mkit Argentina
http://www.mkit.com.ar
Compartir Post
  • RSS
  • Digg
  • del.icio.us
  • Facebook
  • Google Bookmarks
  • Yahoo! Buzz
  • LinkedIn
  • Twitter

¿Te gustó este artículo?

¡Suscríbete a nuestro feed RSS!

Etiquetado con: , , , Deja un comentario
Comentarios (0) Trackbacks (0)

Aún no hay comentarios.


Deja un comentario


Aún no hay trackbacks.

12 Tips para mantener las redes sociales seguras » « Hackearon mas de 10000 cuentas de Windows Live
View Matias Katz's Company

View Matias Katz's profile on LinkedIn View Matias Katz's profile on XING

Tags

Active Directory barcamp citrix Cloud Computing ClustrMaps CXO Dilbert encriptacion event Evento Facebook Google Hacking hosting hypervisor IIS imagen iSCSI Target Mkit multiples dominios news nic.ar noticias Open Source pendrive phishing Projects provisioning Proyectos San Security Seguridad Starwind test online Training Twitter video virtualizacion VMware web server website Windows Server Windows Vista XenServer zoneedit

Entradas recientes

Archivos

Locations of visitors to this page