Cazando mitos: HTTPS
Octubre 2, 2009 1:19 pmUno de los consejos que se han mencionado con frecuencia respecto al phishing (y otros ataques relacionados vía web) es la importancia de chequear en la barra de direcciones la presencia del protocolo HTTPS al acceder a sitios web en donde se ingrese información personal.
Aunque este consejo sigue siendo cierto, es muy frecuente que el mismo sea mal interpretado asumiendo que “siempre que un sitio posea HTPPS será seguro“.
Sin entrar en detalles, el protocolo HTTPS (Hypertext Transfer Protocol Secure) garantiza que la información que sea transmitida entre la computadora del usuario y el sitio web, será cifrada en su transmisión. Es decir, si se estuviera enviando una carta, lo que se garantiza es que la misma no podrá ser leída por nadie hasta que llegue a su receptor.
Sin embargo, lo información al llegar al servidor web deja de estar cifrada. Por lo tanto, si el servidor web pertenece a un atacante, este podrá visualizar la información. Por diversos motivos, lo más frecuente es que los servidores web maliciosos utilicen directamente el protocolo HTTP sin cifrado de información. Por eso el consejo de validar qué protocolo se está utilizando. Sin embargo, esto no significa que un atacante no pueda utilizar el protocolo HTTPS en su sitio web falso o malicioso, aunque esto no sea frecuente. En ese caso, siguiendo con la analogía, por más segura que viaje la carta, esta llegará a una persona malintencionada como destino.
Para legitimar esta idea, en la semana muchos se habrán encontrado con la noticia de que Internet Explorer soportará certificados gratuitos. Leyendo la noticia, la misma explica que ha sido agregada la aceptación de certificados de StartCom, una empresa que otorga certificados SSL de forma gratuita.
Teniendo en cuenta que uno de los principales motivos por el que los atacantes no adquirían certificados de seguridad era su costo y la necesidad de brindar información; esta posibilidad de adquirir certificados gratuitos es una oportunidad para los atacantes. Estos, podrán adquirir certificados solo con registrar un dominio y crear una cuenta de correo electrónico y así tener sus servidores maliciosos trabajando con el protocolo HTTPS. Por lo tanto, si al usuario le basta ver la bendita letra “S” para sentirse seguro, esto será de un gran favor para los atacantes.
Vale destacar que leyendo el post de StartCom donde anunciaron la noticia, se destaca que otros navegadores como Google Chrome o Firefox (ver imagen) ya aceptaban los certificados gratuitos de la compañía con anterioridad.
Vale mencionar que, aunque el dato recién mencionado es relevante respecto a la posibilidad de un atacante de instalar un servidor con protocolo HTTPS de forma legítima, ya existían anteriormente vectores de ataque para simular la existencia del protocolo seguro, como las tareas de investigación llevadas a cabo por Moxie Marlinspike (Null Prefix Attacks Against SSL Certificates).
Entonces, repasando:
- “Al acceder a un sitio que posea un formulario donde se ingresa información personal, debe verificarse que el mismo utilice el protocolo HTTPS”… VERDADERO
- “Un sitio donde se ingresa información confidencial que no posee HTTPS no es seguro”…VERDADERO
- “Utilizando el protocolo HTTPS, la información es cifrada”… VERDADERO
- “Siempre que un sitio posea HTTPS será seguro”… FALSO
Es decir que, aunque se debe verificar la existencia del protocolo seguro en los sitios web con información confidencial, esto es necesario pero no suficiente para saber con certeza que es un sitio web seguro.
Sebastián
Promedio: 4.56
25-12-2009 a las 12:19 am
[...] FUENTE [...]
9-11-2009 a las 8:48 pm
[...] http://blogs.eset-la.com/laboratorio/2009/10/02/mito-https/ [...]
8-11-2009 a las 11:02 am
[...] través de un pequeño informe llamado “Cazando mitos: https“, se ha reforzado el consejo sobre la seguridad que ofrece el protocolo SSL durante el [...]
25-10-2009 a las 10:08 pm
[...] Para obtener más información acerca del funcionamiento de los certificados digitales y sus implicancias en materia de seguridad informática puede visitar el Blog del Laboratorio de ESET Latinoamérica: http://blogs.eset-la.com/laboratorio/2009/10/02/mito-https/ [...]
20-10-2009 a las 11:40 am
[...] de la publicación de nuestro post “Cazando mitos: HTTPS” y del vídeo educativo sobre Ataques de Phishing por HTTPS que realizamos sobre la misma [...]
16-10-2009 a las 3:58 am
[...] Fuente [...]
15-10-2009 a las 2:27 pm
Hi Eddy,
I commented on your post.
Sebastián
15-10-2009 a las 8:57 am
[...] [...]
14-10-2009 a las 1:26 am
[...] ESET Saludos / Regards, Matias Katz IT Consultant Mkit Argentina http://www.mkit.com.ar Compartir [...]
14-10-2009 a las 12:31 am
Hi Sebastián, I posted a response to your article: http://blog.startcom.org/?p=214
13-10-2009 a las 4:29 pm
[...] Para obtener más información acerca del funcionamiento de los certificados digitales y sus implicancias en materia de seguridad informática puede visitar el Blog del Laboratorio de ESET Latinoamérica: http://blogs.eset-la.com/laboratorio/2009/10/02/mito-https/ [...]
13-10-2009 a las 5:10 am
[...] Para obtener más información acerca del funcionamiento de los certificados digitales y sus implicancias en materia de seguridad informática puede visitar el Blog del Laboratorio de ESET Latinoamérica: http://blogs.eset-la.com/laboratorio/2009/10/02/mito-https/ [...]
8-10-2009 a las 10:12 pm
[...] II Completando nuestro anterior post sobre el mito del protocolo HTTPS, y existiendo la posibilidad de realizar ataques de Phishing utilizando certificados SSL, hemos [...]
8-10-2009 a las 5:36 pm
[...] http://blogs.eset-la.com/laboratorio/2009/10/02/mito-https/ [...]
7-10-2009 a las 12:41 pm
[...] nuestro anterior post sobre el mito del protocolo HTTPS, y existiendo la posibilidad de realizar ataques de Phishing utilizando certificados SSL, hemos [...]
4-10-2009 a las 5:30 pm
[...] Here’s another item from Sebastián Bortnik, my colleague at ESET Latin America, translated from his blog at http://blogs.eset-la.com/laboratorio/2009/10/02/mito-https. [...]
3-10-2009 a las 9:04 am
[...] FUENTE Temas similares. Cómo eliminar de la PC datos personales antes de venderlaPhishing a VISAWIN32/SPY.BANKER.OLCMicrosoft dará software de seguridad gratis prontoNorman Malware CleanerDesactivando el firewall en VistaBoletines de seguridad de Microsoft en abrilLimpieza de primavera para una mejor protección de datos. Cómo navegar seguro en un locutorio y en un cibercaféAgujero de seguridad en Kaspersky [...]