breach-demo

breach-demo

Software

HTTPS no es suficiente: consiguen obtener datos cifrados en 30 segundos

2 agosto, 2013 19:33

Seguramente en algún momento de vuestra vida en Internet os habéis encontrado con una conexión HTTPS. Normalmente el navegador las indica cambiando el color en la barra de direcciones o con algún icono como el de un candado. El uso de este tipo de conexiones, en vez del clásico HTTP, se da normalmente cuando queremos que la comunicación entre nuestro ordenador y el servidor sea privada y, pese a los constantes ataques de los hackers, así ha sido durante las dos décadas que lleva usándose. Sin embargo, hoy ha salido a la luz un nuevo tipo de ataque que puede poner fin a HTTPS como una manera segura de comunicarse.

Empecemos por lo básico: HTTPS no es mas que el protocolo HTTP, pero con cifrado de datos proporcionado por TLS (antes llamado SSL), en una especie de “capa” superior. Esto significa que se trata como cualquier navegación web normal que podamos tener, con la diferencia de que nuestros datos estarán cifrados, y solo nosotros y el servidor con el que nos comunicamos (nuestro banco, gestor de correo, foro) podemos verlos. Aunque ha costado, se ha ido popularizando en los últimos años como una manera sencilla y barata de mejorar la seguridad de la navegación de todo el mundo, y todos los navegadores modernos lo permiten. De hecho, hoy mismo os avisamos de que Facebook ha empezado a usarlo por defecto.

46444_10151722699217200_639719992_n

46444_10151722699217200_639719992_n

El ataque BREACH se ha diseñado específicamente para saltarse esa protección, y poder acceder a los datos que se comunican, como el número de la tarjeta de crédito, nuestras contraseñas, y otros. Pero antes de poder hacerlo, el atacante tiene que seguir ciertos pasos. Para empezar, tiene que realizar un ataque Man-in-the-middle (hombre en el medio), que consiste en interceptar nuestras comunicaciones con el servidor. Este ataque es mas fácil de realizar en redes públicas, aunque puede usarse en cualquier punto de la comunicación dependiendo de los conocimientos del hacker.

Aunque en este momento tiene acceso a nuestra conexión y puede leer directamente todo lo que comunicamos de manera insegura, todavía no puede leer lo que navegamos por HTTPS ya que está cifrado, y tampoco lo necesita. Porque BREACH es un método algo mas paciente, y al mismo tiempo mas quirúrgico, que depende de factores como la compresión de los datos, la cantidad que estos se repiten, y en base a qué peticiones el servidor responderá con ellos. Es un juego de adivinación, pero al estar automatizado se puede hacer en muy poco tiempo.

“No estamos descifrando todo el canal, sino que solo extraemos los secretos que nos importan. Es un ataque muy dirigido. Solo tenemos que encontrar el sitio [de la respuesta de una página web] que tiene la clave o la contraseña e ir a por esa página para extraer el secreto. En general, cualquier secreto que sea relevante y localizado en el cuerpo [de la página] […] tenemos la habilidad de extraer ese secreto en 30 segundos

Son las palabras de Yoel Gluck, uno de los creadores de BREACH, y dan a entender una gran facilidad a la hora de obtener datos. 30 segundos es tiempo suficiente para obtener los datos mas importantes del usuario, y estamos seguros de que una vez se publique la versión final del ataque habrá carreras en ambos bandos: tanto de otros hackers para aprovechar la vulnerabilidad, como de hackers que buscarán la solución a ésta.

Fuente | Ars Technica