Tu blog de telefonía móvil con noticias de Android, Apple y más

Banner YouTube

HTTPS no es suficiente seguro, consiguen obtener datos cifrados en 30 segundos

breach-demo
A diario nos encontramos en Internet con alguna conexión HTTPS, el navegador las suele indica cambiando el color en la barra de direcciones o con algún icono como el de un candado, las conexiones mediante HTTPS en lugar de del clásico HTTP hacen que la seguridad mejore.

HTTPS se usa normalmente cuando queremos que la comunicación entre nuestro ordenador y el servidor sea privada, los hackers trabajaron mucho para saltarse esta seguridad, pero se ha usado hasta ahora durante dos décadas en muchos sitios.

Pero ahora ha salido a la luz un nuevo tipo de ataque que puede poner fin a HTTPS como una manera segura de comunicarse, el HTTPS no es mas que el protocolo HTTP, pero con cifrado de datos proporcionado por TLS que antes se llamaba SSL.

Esto significa que la navegación es normal pero la diferencia está en que nuestros datos están cifrados, solo nosotros y el servidor con el que nos comunicamos pueden verlos, esto es usado para pagos y otros sitios en los que se manejan datos importantes.
Facebook https
Pero ahora el ataque BREACH ha sido diseñado específicamente para saltarse esa protección, y poder acceder a los datos que se comunican, como el número de la tarjeta de crédito, nuestras contraseñas, y otros, pero el atacante tiene que seguir ciertos pasos.

Primero tiene que realizar un ataque Man-in-the-middle, hombre en el medio, que consiste en interceptar nuestras comunicaciones con el servidor, este ataque es muy fácil de realizar en redes públicas, pero los hackers con más conocimientos pueden hacerlo en cualquier punto de la comunicación.

Tras eso no podrá leer todo lo que comunicamos, ya que si navegamos por HTTPS todo está cifrado, pero BREACH es un método algo mas paciente, por lo que depende de factores como la compresión de los datos, la cantidad que estos se repiten, y a qué peticiones el servidor responderá con ellos.

Este se trata un juego de adivinación, pero al estar automatizado se puede hacer en muy poco tiempo, Yoel Gluck, uno de los creadores de BREACH dice lo siguiente para dar a entender este método con el que en 30 segundos pueden obtener datos importantes:

“No estamos descifrando todo el canal, sino que solo extraemos los secretos que nos importan. Es un ataque muy dirigido. Solo tenemos que encontrar el sitio que tiene la clave o la contraseña e ir a por esa página para extraer el secreto. En general, cualquier secreto que sea relevante y localizado en el cuerpo tenemos la habilidad de extraer ese secreto en 30 segundos”

Segun estas palabras, 30 segundos sería tiempo suficiente para obtener los datos mas importantes del usuario, por el momento este método aún está en desarrollo, pero cuando se publique la versión final los responsables del HTTPS tendrá que responder con alguna mejora.

Fuente Omicrono

Categoría: Sin categoría