Sslstrip, secuestro SSL en línea

La semana pasada en Black Hat DC, [Moxie Marlinspike] introdujo una nueva forma de secuestrar SSL. Puede leer sobre esto en este artículo de Forbes, pero le recomendamos encarecidamente que vea el video. sslstrip puede reescribir todos los enlaces https como http, pero va mucho más allá. ¿Usar caracteres Unicode similares a / y? puede crear URL con un certificado válido y luego redirigir al usuario al sitio original después de robar sus certificados. El ataque puede ser muy difícil de notar incluso para los usuarios más que promedio. Este ataque requiere acceso a la red del cliente, pero [Moxie] lo operó con éxito en un nodo de salida Tor.

  • mella dice:

    aterrador genial, otra razón más para ir a mi banco o tienda en persona.

  • Andrés dice:

    Este es un truco de un hacker, una prueba de concepto realmente genial. Pero en el mundo real, alguien debería piratear su banco, su ISP o su red doméstica. Si rootean el banco (por ejemplo, Heartland) por qué molesta el tráfico SSL, simplemente obtenga los datos sin procesar. Si llegan a su computadora, pueden presionar teclas sin importar qué tan buena sea la seguridad de la red. Y entendamos que mucha gente puede ser engañada por un sitio web que tiene el mismo aspecto, sin importar la URL o el certificado. Aunque quizás solo un punto de Internet inalámbrico en un hotel o cafetería podría ser candidato para sslstrip. Creo que sería difícil desviar el tráfico a través de una computadora en lugar de ir directamente a un conmutador, pero probablemente sea más fácil que piratear un ISP o un banco.
    Vale la pena leer el periódico:
    http://www.blackhat.com/presentations/bh-dc-09/Marlinspike/BlackHat-DC-09-Marlinspike-Defeating-SSL.pdf
    .. hey, tal vez combinarlo con el ataque BGP: https://www.defcon.org/images/defcon-16/dc16-presentations/defcon-16-pilosov-kapela.pdf (eso fue increíble, se robó todo Tráfico DEFCON durante aproximadamente una hora ..)

  • Andrés dice:

    Nick, con el debido respeto, negociar en persona en un banco es estadísticamente mucho más probable que robe su información. La mayoría de los cajeros no remunerados obtienen acceso de rutina a cientos de miles de dólares en cuentas y hacen marcas fáciles en planes de robo idénticos.
    Sin embargo, escribir la URL de su banco y verificar el certificado es, a pesar de este riesgo, más seguro en mi opinión.

  • polvo dice:

    simplemente les muestra a todos que tenía razón al guardar mi dinero debajo de la cama en casa ... ¡¡¡¡nunca lo obtendrás NUNCA !!!!!

    Dejando de lado todas las bromas, esta es solo otra razón para ser más inteligente en línea, nunca se sabe quién podría estar mirándote

  • Jango dice:

    Aquí hay un enlace a la presentación de video en vivo:

    http://securitytube.net/Defeating-SSL-using-SSLStrip-(Marlinspike-Blackhat)-video.aspx

  • ex-loro dice:

    Creo que Firefox corrige un poco esta vulnerabilidad, ya que no permite el uso de caracteres homogéneos en las URL de IDN.

    http://www.mozilla.org/projects/security/tld-idn-policy-list.html para obtener más información

  • un tren dice:

    ex-loro:
    Así que solo usa tld internacional. Eso es exactamente lo que hace en su conferencia, usando un sitio web .cn. Obtienes tu certeza para ello, y así sucesivamente.

    Incluso eso no es realmente necesario, ya que es posible que el 99% de las personas no noten la diferencia entre http y https.

  • bistec dice:

    pregunta:

    A diferencia de un banco, un ISP y una computadora de usuario, ¿no podría hacerse esto en un servidor dns o en algún enrutador?
    o, como él dijo, en un nodo Tor.
    Parece que las personas que podrían quemarse con esto están usando la red Tor y, por lo tanto, estereotipadamente no quieren que PPPL vea lo que están haciendo.

  • ejonesss dice:

    este es un programa extremadamente peligroso.

    para aquellos que se preocupan por la seguridad de sus transacciones en línea deben tener cuidado

  • supershwa dice:

    je, mierda, leí este artículo después de completar una encuesta de autoevaluación de la industria de tarjetas de pago para la cuenta comercial de un cliente.

    Fingiré que nunca he visto esto.

  • ex-loro dice:

    atrain: incluso para un TLD como .cn, tienen un filtro para bloquear caracteres fraudulentos.

    verifique la lista de enlaces a las políticas que he vinculado 🙂

  • IceBrain dice:

    ¡Oye, esto no secuestra https! Caper significaría manejar un enlace establecido. Esto redirige al usuario "antes" de que se establezca una conexión SSL, a un sitio web similar. Si ya inició sesión en el banco, no pueden secuestrarlo, la conexión está encriptada.

    Y hay una forma sencilla de saber si se encuentra en el sitio correcto antes de iniciar sesión: intente iniciar sesión primero con datos falsos. El sitio web falso no sabrá que es falso y le permitirá "iniciar sesión", pero el sitio web real le dará una "contraseña incorrecta".

  • DarkFader dice:

    Esto requiere la instalación de algunos IDS. ¿Alguien sabe algo bueno para OS X sin demasiada sobrecarga y en un buen paquete .dmg / .app?

  • ABZ dice:

    cerebro de hielo te llaman nobrain. Intenté esto con Firefox e incluso si escribe la pssword incorrecta, no iniciará sesión.

  • IceBrain dice:

    abz: Tienes razón, no he leído la parte en la que "redirigen" al usuario al servidor web real. AFAIK, la mayoría de las páginas de phishing no hacen eso.

    ¿Hay algún consejo sobre cómo evitar esto? Si escribimos la URL manualmente con "https", debería ser segura, ¿verdad?
    Pero mi banco me redirige a http para iniciar sesión: facepalm:

  • smyd dice:

    pffft es solo phishing. Adelante.

  • Aaron Andrusko dice:

    La ventana de captura de teclas se basa en el uso del teclado de PS2. Intentar otra vez.

  • Aaron Andrusko dice:

    La captura de la clave del mapa láser también se siente un poco porque:

    R: Si se trata de una computadora portátil (donde la pantalla está bloqueada en el teclado), podría ser más fácil instalar una grabadora en la máquina con sus débiles transferencias inalámbricas.

    B: ¿Quién usa una computadora portátil afuera para hacer algo que valga la pena atrapar?

    C: si alguien está usando una computadora portátil al aire libre durante algo delicado y está detrás de un vidrio, ¿cómo mitiga eso la fuerza de la señal? ¿Tratamientos para ventanas? ¿Polarización? ¿En qué punto la proximidad excluiría un punto vano?

    D: el portador del láser debe estar en los espectros invisibles para transmitir los datos sin detección del objetivo. Esto implica usar una cámara en lugar de un sensor simple para ver la propagación IR del láser en la pantalla de la "computadora portátil" o en algún área de alineación, lo que dificulta mucho las cosas, porque la frecuencia de muestreo de la computadora debe ser muy alta, y esto está contraindicado, use el sonido incorporado como un ADC. Claro, podría construir algunos mecanismos de alineación para compensar un índice 3D simple de la pantalla, con una reducción de la potencia de retorno sobre el ángulo de visión, pero luego la implementación de una cámara sería más barata. Preferiría darme cuenta socialmente de mi camino hacia las galletas y los errores. Sin embargo, ¡hermoso papel!

  • usuario dice:

    Acabo de leer unos 8 comentarios sobre estilo absoluto. Por la presente declaro que la mitad de ustedes (al menos) son una cabeza desagradable. Si estuvieras en forma binaria (archivo), rm -rf cada rastro de ti.

    Atentamente,
    Usuario web

  • eric fajardo dice:

    Moxie tuvo un buen desempeño al derrotar a SSL sobre HTTPS. Hacer trampa para que el tráfico sea redirigido a HTTP es muy complicado. Esto es básicamente cierto para sitios web públicos / menos seguros como Yahoo y Google y el resto, pero supongo que encontrar una manera de destruir parte del tráfico corporativo sería difícil si:

    1. Forzar todo el tráfico como HTTPS en el lado de la infraestructura.
    2. Utilice 2FA para todos los accesos remotos estándar.
    3. Combinación de 2FA con OTP para todos los inicios de sesión.

    Sin embargo, creo que la autenticación de doble hecho no es infalible, pero ciertamente puede causar dolor a un tipo que escucha con su cable para acceder.

  • nobann dice:

    Jajaja
    todos ustedes no tienen nada
    no es phishing jajaja
    Es envenenamiento arp + redirección con un hacker, luego sslstrip hace una compensación ...
    si comprende cómo funciona Internet, nunca se sentirá seguro porque el nivel inferior no es seguro ...

Ricardo Prieto
Ricardo Prieto
ENTRADAS RELACIONADAS
Tarjetas de pago "prestadas" con hardware proxy NFC
Danielle Applestone y la historia de todos los demás molinos
El largo y accidentado camino hacia Internet en Serbia
Impresión 3D de cohete completo
Supercon 2022: Vender tu empresa y no tu alma
El arte de la fabricación de tubos de vacío
Uso de la levitación acústica para aplicaciones más nuevas
Primer vistazo DEF CON 27 Insignia oficial; ¡El líder ha vuelto!
Kay Igwe explica el juego cerebral de SSVEP
Supercon 2022: Aprovecha a tu tío rico para financiar tus sueños de radioaficionado

Deja una respuesta

Tu dirección de correo electrónico no será publicada. Los campos obligatorios están marcados con *