Breach descifra el tráfico HTTPS en 30 segundos

Archivado
Cualquiera se conecta a la página del banco....

Por lo general, el tráfico HTTPS es mucho más seguro que las conexiones tradicionales a la hora de enviar datos personales por internet como credenciales de acceso, datos bancarios, etc. Estas conexiones, hasta ahora, eran muy difíciles de descifrar, pero se ha descubierto una nueva técnica de hacking que permite descifrarlas en 30 segundos y obtener la información que contienen los paquetes HTTPS.

En los últimos días se ha descubierto una nueva técnica de hacking denominada BREACH que permite a los hackers o piratas informáticos capturar y descifrar el tráfico cifrado con HTTPS y extraer de él tokens, datos de acceso, datos bancarios, etc en menos de 30 segundos.

Esta nueva técnica ha sido demostrada en la conferencia de seguridad Black Hat celebrada en Las Vegas estos días y supone un fallo de seguridad grave que abre la puerta a infinidad de nuevos ataques de red y a técnicas de robo de información. En el vídeo que aparece a continuación podemos ver una pequeña demostración del funcionamiento de Breach.

Breach es un acrónimo de Browser Reconnaissance and Exfiltration via Adaptive Compression of Hypertext. Su funcionamiento se basa en la manipulación de los datos para extraer los datos que viajan sin formato a través de las conexiones HTTPS.

Este descubrimiento debe obligar a los desarrolladores web a implementar un nuevo modelo de seguridad que ofrezca un extra de seguridad de las conexiones con sus páginas web si quieren mantener a sus usuarios seguros, por ejemplo, un cifrado intermedio de datos.

Imagen

Fuente:
http://www.redeszone.net/2013/08/05/bre ... 0-segundos
Esto debería ir en portada. Es muy jodido el tema.

Seguro que la NSA ya sabía de esto.
Pues ni más ni menos, que si se supiera desde dónde y cuando te vas a conectar, alguien podría snifar practicamente todo tu tráfico htpps descifrado :-(
Muy interesante pero parece que ya tienen algunas soluciones para mitigar el efecto de esta brecha:

http://breachattack.com/#mitigations
Es un ataque importante, pero dentro de lo que cabe con un poco de cabeza se pueden evitar casi todos los ataques de este estilo, cuando me conecto a la página del banco y derivados no soy tan idiota de conectarme desde un ciber o un bar, por mucho https que sea(llamame paranoico pero al fin y al cabo rarisima la vez que necesitas acceder a datos criticos desde fuera de casa oi que no puedas esperar a llegar a ella) y casi todos estos ataques necesitan que el trafico pase por el atacante cosa que es dificil si lo haces desde el pc de tu casa.

Lo que si me hace coña del método es que es estilo un timing attack de toda la vida, me ralla mucho que cosas como esas no estén revisadas a día de hoy, pero si es verdad que ultimamente el "mercado" de la seguridad en navegadores y OS en muchos casos es no hacer nada hasta que algo rompa o se explote
AIXI escribió:Es un ataque importante, pero dentro de lo que cabe con un poco de cabeza se pueden evitar casi todos los ataques de este estilo, cuando me conecto a la página del banco y derivados no soy tan idiota de conectarme desde un ciber o un bar, por mucho https que sea(llamame paranoico pero al fin y al cabo rarisima la vez que necesitas acceder a datos criticos desde fuera de casa oi que no puedas esperar a llegar a ella) y casi todos estos ataques necesitan que el trafico pase por el atacante cosa que es dificil si lo haces desde el pc de tu casa.

Lo que si me hace coña del método es que es estilo un timing attack de toda la vida, me ralla mucho que cosas como esas no estén revisadas a día de hoy, pero si es verdad que ultimamente el "mercado" de la seguridad en navegadores y OS en muchos casos es no hacer nada hasta que algo rompa o se explote


Yo pienso igual, para conexiones realmente importantes (acceso al banco por ejemplo) la inmensa mayoría de las veces puedes esperar a llegar a casa, o a unas malas si hay muchas prisas, conectarte a traves de la conexión de datos del movil.


Saludos :P
5 respuestas
Archivado
Volver a El Buffer