Herramienta para crackear las cookies SSL en 10 minutos

Escrito por Sergio De Luz
Redes
4

Mañana 23 de septiembre, dos investigadores van a publicar una nueva herramienta para interceptar y descifrar las cookies SSL de los paquetes cifrados.

El atacante debe tener el navegador de la víctaima y éste enviará ciertos datos a un sitio remoto mediante un canal cifrado. El atacante, al tener los datos en texto plano y el texto cifrado, podrá determinar la entropía utilizada reduciendo el tiempo de crackeo “por defecto”.

Gracias a este método, el programa denominado BEAST, podrá crackear una cookie de PayPal en apenas 10 minutos.

El secreto de este ataque está en cómo manipulan las páginas HTTPS los paquetes cifrados.

BEAST está basado en JavaScript y deberá estar en el navegador de la víctima, el resto se puede hacer con cualquier sniffer. BEAST sólo funciona cuando estamos utilizando TLS 1.0. La versión más actual que apareció en 2006, no es vulnerable a este ataque.

En la práctica, casi todas las conexiones HTTPS siguen usando TLS 1.0.

Mañana se presentará esta herramienta, estad atentos para contaros todo lo que sepamos sobre ella.


Noticias relacionadas

Comentarios


4 comentarios
  1. ethiel 22 Sep, 11 14:02

    Interesantísimo… Se me ocurren muchísimas utilidades para algo como esto.

    Menos mal que se ah descubierto y hecho público; de lo contrario, no vuelvo a usar PayPal en mi vida.

    Responder
    0
  2. Paypal? 03 Oct, 11 22:04

    Este… sólo paypal? todo funciona sobre TLS 1.0

    Responder
    0
    1. Sergio De Luz 03 Oct, 11 23:15

      Es uno de los ejemplos “peligrosos” ya que interviene dinero y cuentas bancarias 🙂

      Responder
      0
  3. Mou 05 Oct, 11 0:18

    En 10 minutos, se me hace demasiado poco tiempo para crackear un ssl por lo que no me fio mucho de este tipo de anuncios

    Responder
    0