Security Pro dice que un nuevo ataque SSL puede afectar a muchos sitios

Un consultor de seguridad informática de Seattle dice que ha desarrollado una nueva forma de explotar un error divulgado recientemente en el protocolo SSL, utilizado para proteger las comunicaciones en Internet. El ataque, aunque difícil de ejecutar, podría dar a los atacantes un ataque de phishing muy poderoso.

Frank Heidt, CEO de Leviathan Security Group, dice que su código "genérico" de prueba de concepto podría usarse para atacar una variedad de sitios web. Si bien el ataque es extremadamente difícil de lograr, el pirata informático primero tendrá que realizar primero un ataque de hombre en el medio, ejecutando un código que comprometa la red de la víctima; podría tener consecuencias devastadoras.

El ataque explota el error SSL (Secure Sockets Layer) Gap Autenticación, revelado por primera vez el 5 de noviembre. Uno de los descubridores de errores SSL, Marsh Ray en PhoneFactor, dice que ha visto una demostración del ataque de Heidt, y está convencido de que podría funcionar. "Me lo mostró y es el verdadero negocio", dijo Ray.

[Más información: cómo eliminar el malware de su PC con Windows]

El error de autenticación SSL le da al atacante una forma de cambiar los datos que se envían al servidor SSL, pero todavía no hay forma de leer la información que regresa. Heidt envía datos que hacen que el servidor SSL devuelva un mensaje de redirección que luego envía el navegador web a otra página. Luego usa ese mensaje de redirección para mover a la víctima a una conexión insegura donde las páginas web pueden ser reescritas por la computadora de Heidt antes de enviarlas a la víctima.

"Frank ha mostrado una forma de aprovechar este ataque ciego de inyección de texto sin formato en un completo compromiso de la conexión entre el navegador y el sitio seguro ", dijo Ray.

Un consorcio de compañías de Internet ha estado trabajando para solucionar el problema desde que los desarrolladores de PhoneFactor lo descubrieron por primera vez hace varios meses. Su trabajo adquirió una nueva urgencia cuando el error fue divulgado inadvertidamente en una lista de discusión. Los expertos en seguridad han estado debatiendo la gravedad de este último fallo SSL desde que se hizo público.

La semana pasada, el investigador de IBM Anil Kurmus mostró cómo la falla podría usarse para engañar a los navegadores para que envíen mensajes de Twitter que contengan contraseñas de usuarios. Este último ataque muestra que la falla podría usarse para robar todo tipo de información sensible de sitios web seguros, dijo Heidt.

Para ser vulnerables, los sitios necesitan hacer algo llamado renegociación de clientes bajo SSL y también tener algún elemento en su páginas web seguras que podrían generar un mensaje de redirección 302 en particular.

Muchos sitios web bancarios y de comercio electrónico de alto perfil no devolverán este mensaje de redireccionamiento 302 de una manera que pueda ser explotada, pero un "gran número" de sitios podría ser atacado, dijo Heidt.

Con tantos sitios web en riesgo de falla, Heidt dice que no tiene la intención de revelar su código de inmediato.

Desde la perspectiva de la víctima, el único cambio notable durante un ataque es que el navegador no lo nger parece estar conectado a un sitio SSL. El ataque es similar al ataque SSL Strip demostrado por Moxie Marlinspike [cq] en una conferencia de seguridad a principios de este año.

Leviathan Security Group creó una herramienta que los webmasters pueden usar para ver si sus sitios son vulnerables a una brecha de autenticación SSL ataque.

Debido a que SSL, y su estándar de reemplazo, TLS, se usan en una amplia gama de tecnologías de Internet, el error tiene implicaciones de largo alcance.

Thierry Zoller, un asesor de seguridad de G-Sec, dice que teóricamente, la falla podría usarse para atacar servidores de correo. "Un atacante puede potencialmente interceptar correos enviados a través de conexiones SMTP [Protocolo simple de transferencia de correo] seguras, incluso si están autenticados por un certificado privado", dijo en una entrevista de mensaje instantáneo.

Zoller, que no ha visto el código de Leviathan, dijo que si el ataque funciona como se anuncia, será cuestión de días para que alguien más descubra cómo hacerlo.