Geek the Planet


Seguridad no image

Published on septiembre 21st, 2011 | by Angelfire

2

SSL/TLS ya no tan seguros

SSL (Secure Socket Layer) se encuentra en la pila OSI entre los niveles de TCP/IP y de los protocolos HTTP, FTP, SMTP, etc. Proporciona sus servicios de seguridad cifrando los datos intercambiados entre el servidor y el cliente con un algoritmo de cifrado simétrico.

SSL se ejecuta en una capa entre los protocolos de aplicación como HTTP, SMTP, NNTP y sobre el protocolo de transporte TCP, que forma parte de la familia de protocolos TCP/IP. Aunque pueda proporcionar seguridad a cualquier protocolo que use conexiones de confianza (tal como TCP), se usa en la mayoría de los casos junto a HTTP para formar HTTPS. HTTPS es usado para asegurar páginas World Wide Web para aplicaciones de comercio electrónico, utilizando certificados de clave pública para verificar la identidad de los extremos.

Lo anterior es simplemente algo de información técnica, para mostrar la importancia que tiene actualmente este protocolo en la Web. Gracias a SSL existe HTTPS y gracias a HTTPS es que “tenemos conexiones seguras” y podemos mandar datos por la red sin el peligro de que sean capturados, sitios Web como Gmail, Hotmail, Facebook, Twitter, Amazon, eBay, Paypal entre muchos otros se encuentran (encontraban) a salvo gracias a HTTPS.

Thai Duong y Juliano Rizzo son los responsables de haber vencido las resistencias del protocolo SSL/TLS demostrando en primer lugar cómo podían superar la seguridad de PayPal.

Rizzo y Duong mostrarán BEAST (Browser Exploit Against SSL/TLS) en la conferencia ekoparty esta semana en Argentina. “Describiremos una aplicación atacante que permite a un adversario de manera eficiente descifrar y obtener los tokens de autenticación y cookies de peticiones HTTPS. Nuestro exploit viola una vulnerabilidad presente en la implementación de SSL/TLS de los principales navegadores weben el momento de la escritura”.

El problema se complica porque TLS 1.1 y 1.2 no son compatibles con ningún navegador actualmente y los sitios web no quieren actualizar desde 1.0 para evitar perder visitantes.

Leer más: CNET News
Gizmodo

Tags: , , , ,


About the Author

Systems Engineering, Computer Systems Specialist, Social Engineering Specialist. Social Media Analyzer. Usability and SEO enthusiasm (Este es mi perfil de Twitter...)



2 Responses to SSL/TLS ya no tan seguros

  1. SSL says:

    Pues si ya no nos queda ni el SSL, ¿qué nos quedará?¿cómo se harán las transacciones económicas? La verdad que estos datos me preocupan mucho, ojalá que salga más información acerca del ataque y de cuánto de verdad tiene.

  2. Angelfire says:

    @SSL: SSL si queda, el problema está en la versión 1.0, quedan la 1.1 y la 1.2, habrá que esperar que se den prisa con las implementaciones de estos…

Back to Top ↑