HTTPS - MitM

Temas relacionados con el examen de test.
Cerrado
Avatar de Usuario
MaJoHuGa
Usuario registrado
Mensajes: 91
Registrado: 02 Dic 2008, 10:19
Agradecido: 0
Agradecimiento recibido: 0

HTTPS - MitM

Mensaje por MaJoHuGa »

¿HTTPS es vulnerable a ataques Man in the Middle?.

Muchas gracias y un saludo.

cantimploro
PreparaTIC XXI
Mensajes: 1010
Registrado: 20 Jul 2010, 09:09
Agradecido: 0
Agradecimiento recibido: 0

Re: HTTPS - MitM

Mensaje por cantimploro »

Sí. Por ese motivo los bancos a veces añaden un método de verificación offline (como enviarte un código de verificación al móvil).

Avatar de Usuario
MaJoHuGa
Usuario registrado
Mensajes: 91
Registrado: 02 Dic 2008, 10:19
Agradecido: 0
Agradecimiento recibido: 0

Re: HTTPS - MitM

Mensaje por MaJoHuGa »

Muchas gracias, cantimploro. Tu respuesta me es de gran ayuda, de verdad.

Me gustaría preguntarte si me puedes indicar alguna referencia seria (es para intentar reclamar una pregunta de un examen oficial) o alguna bibliografía referente a esta vulnerabilidad MitM referida a HTTPS.

Muchas gracias por adelantado y un saludo.

cantimploro
PreparaTIC XXI
Mensajes: 1010
Registrado: 20 Jul 2010, 09:09
Agradecido: 0
Agradecimiento recibido: 0

Re: HTTPS - MitM

Mensaje por cantimploro »

No es tanto que el protocolo en sí tenga una vulnerabilidad, como que lo que este protocolo puede garantizar no es suficiente para impedir los ataques MtTM.

Supongamos que la web atacada se llama pepe.org. Yo levanto una web pepe.com, y tengo un certificado de servidor perfectamente válido para pepe.com. Consigo que los clientes de pepe.org vengan en su lugar a pepe.com (mediante phishing, dns poisoning, etc). Esta web tiene el mismo aspecto que la real, y actúa en realidad como proxy redirigiendo las peticiones de los clientes pepe.org, y transmitiendo sus respuestas a los clientes.

Como referencias serias no tengo ninguna en mente pero una búsqueda rápida en google muestra entre otras:

http://www.securityfocus.com/brief/910
http://www.blackhat.com/presentations/b ... alleri.pdf
Última edición por cantimploro el 24 Oct 2010, 13:42, editado 1 vez en total.

Avatar de Usuario
Orion
Usuario registrado
Mensajes: 284
Registrado: 19 Ene 2009, 11:31
Agradecido: 0
Agradecimiento recibido: 0

Re: HTTPS - MitM

Mensaje por Orion »

Yo tengo otra explicación:

Es vulnerable a ese tipo de ataques porque la negociación del canal seguro se realiza extremo a extremo y esa negociación, que es a nivel de aplicación, es vista desde el nivel de red por los nodos intermedios. Es decir, si el tráfico de negociación de los parámetros de seguridad de SSL pasa por tu nodo (tráfico que va en claro), tu te podrías enterar de las claves y los algoritmos acordados y podrías acceder posteriormente a la info encriptada contenida en los segmentos tcp.

El ejemplo que plantea cantimploro es más de suplantación de identidad que de "man-in-the-middle".
"When a girl says she needs two minutes to get ready, that's the same thing as when a guy says there's two minutes left in the football game. That's relativity."

cantimploro
PreparaTIC XXI
Mensajes: 1010
Registrado: 20 Jul 2010, 09:09
Agradecido: 0
Agradecimiento recibido: 0

Re: HTTPS - MitM

Mensaje por cantimploro »

Es sólo un ejemplo, pero es de MitM en el sentido general, porque la suplantación de identidad ocurre a dos bandas. La disposición es cliente <-> atacante <-> servidor real. El cliente piensa que está hablando con el servidor real. El servidor real piensa que está hablando con el cliente. La transacción se completa por las dos partes, y las dos piensan que han autenticado al otro extremo.

En el mejor de los casos, el atacante puede acceder a todo el tráfico en claro (ya que en vez de existir un canal cifrado cliente-servidor, hay dos, uno cliente-atacante y otro atacante-servidor).

En el peor de los casos, puede utilizarlo para introducir modificaciones (afectar a la integridad). Por ejemplo, cambiar el destinatario e importe de una transferencia.

Orion, el análisis del tráfico a nivel de red en SSL puede aportar algo para montar un posterior ataque MitM, pero en sí mismo no lo es en mi opinión. Además, la clave de sesión no viaja nunca en claro, y las claves privadas RSA que cada participante utiliza para descifrar la información de la negociación no viajan de ninguna forma.

He editado el post anterior (antes de escribir este) incluyendo un par de referencias.

Avatar de Usuario
Orion
Usuario registrado
Mensajes: 284
Registrado: 19 Ene 2009, 11:31
Agradecido: 0
Agradecimiento recibido: 0

Re: HTTPS - MitM

Mensaje por Orion »

"When a girl says she needs two minutes to get ready, that's the same thing as when a guy says there's two minutes left in the football game. That's relativity."

Avatar de Usuario
MaJoHuGa
Usuario registrado
Mensajes: 91
Registrado: 02 Dic 2008, 10:19
Agradecido: 0
Agradecimiento recibido: 0

Re: HTTPS - MitM

Mensaje por MaJoHuGa »

Muchas gracias a los dos por vuestras respuestas, enlaces y explicaciones sobre este asunto. Con todo ello queda bastante claro que HTTPS está sujeto a ataques MitM.

Gracias por compartir vuestros conocimientos con todos los que no los tenemos e intentamos ir aprendiendo.

Saludos.

Cerrado

Volver a “PRIMER EXAMEN 2010”