El protocolo https no es mágico

Últimamente veo por muchos muros de Facebook el siguiente mensaje:

“FB ha cambiado. Fijate en la URL. Si usted ve “http”o “www”en lugar de “https” usted no tiene 1 sesión segura y puede ser hackeado. Entre a la configuración d la cuenta/Cuenta d Seguridad/haga click en Cambiar/Marque: navegación segura/haga click en Guardar. FB tiene por default la configuración no segura! Haga a sus amigos un gran favor, copialo, y vuelvelo a postear!”

El protocolo HTTPS no es mágico, es tan sólo un sistema para encriptar los datos que circulan a través de la red, sirve por ejemplo para que un compañero de trabajo con acceso a su red local no pueda mediante un programa llamado sniffer ver los datos que estás comunicando con Facebook. ¿Pero cuantos compañeros hay así? ¿Y en casa dónde no hay compañeros de trabajo con conocimientos informáticos?

También sirve para que los paquetes de datos que van rebotando de nodo en nodo no puedan ser leídos por nadie, por ejemplo, si su conexión es de Telefónica ningún administrador de sistemas de Telefónica podrá ver el contenido de sus datos de Facebook.

¿Https es invulnerable? No, lo han hackeado y han demostrado que se puede reventar utilizando un ataque llamado “Man in the middle“. Además HTTPS es un cifrado SSL que a día de hoy ya es desencriptable, se necesitan muchos conocimientos, mucho tiempo y mucha máquina (especialmente muchas GPUs), pero es posible reventarlo.

HTTPS consume además muchos recursos del servidor y del navegador y enlentece la navegación.

¿Quiere decir con esto que Facebook ha hecho mal en implementar este protocolo? No, hace bien, es una ayuda a la seguridad, pero desde luego no es la muralla definitiva contra un hacker.

5 comentarios sobre “El protocolo https no es mágico

  • el 12 Mayo, 2011 a las 5:41 am
    Permalink

    El man in the middle es un software que permite interceptar el paquete de informacion que se envia de una uri a otra, con eso no se explota SSL, es verdad que se puede ver los datos en plano en proceso de pasaje de variables pero no es un momento para hacer reventar el algoritmo de encriptacion SSL.

    Cuando decis “mucho tiempo y mucha máquina (especialmente muchas GPUs), ” yo diria CPU, porque GPU es graphic Processor Unit, muchos procesadores graficos quisiste decir? creo que tenes conocimientos erroneos.

    Suerte!

    Respuesta
  • el 12 Mayo, 2011 a las 10:05 am
    Permalink

    No soy especialista en seguridad, pero las GPUs se están utilizando ahora mucho para realizar operaciones matemáticas para desencriptar datos, te pongo de ejemplo esta búsqueda en Google:

    Usar gpu para desencriptar wifi –> http://www.google.es/#hl=es&pq=usar%20gpu%20para%20desencriptar&xhr=t&q=usar+gpu+para+desencriptar+wifi&cp=31&pf=p&sclient=psy&source=hp&aq=f&aqi=&aql=&oq=usar+gpu+para+desencriptar+wifi&pbx=1&bav=on.2,or.r_gc.r_pw.&fp=130af3c50eefa1d

    Pero como te vuelvo a repetir, no soy especialista en seguridad, seguramente Jorge, en este tema me pegues 10 vueltas.

    Respuesta
  • el 18 Mayo, 2011 a las 11:49 pm
    Permalink

    La seguridad 100 % no existe en ninguna faceta de nuestra vida. Por desgracia es así e incluso el que se queda encerrado en su casa por temor a morir atropellado podría morir por tropezarse en su casa y darse en la cabeza con la bañera.
    Sin embargo todos intentemos adquirir algunas pautas para eliminar gran parte de la incertidumbre y de la inseguridad. ¿Prefieren conducir con o sin cinturón de seguridad? La instalación del SSL es beneficioso porque si bien puede ser reventado, las posibilidades son mínimas, es difícil y tiene un amplio tiempo, por lo que alguien que quiera reventarlo tendrá que gastar muchos recursos y preferirá adquirir datos en webs donde es más fácil hacerlo.

    Saludos

    Respuesta
  • el 2 Junio, 2011 a las 10:11 pm
    Permalink

    que cara de pelotudo que tiene el supuesto programador.
    porque no se programa una nueva cara en vez de hacer aplicaciones boludas que no sirven para nada y son seguramente copiadas de alguien con ingenio

    Respuesta
  • el 21 Enero, 2012 a las 10:57 am
    Permalink

    Jorge MITM (Man In The Middle) no es un software, es un ataque usando varios software sniffers y ARP poisoning con la intencion de desviar el trafico a tu PC para procesarlo, estres estas piezas de software que puedes usar hay una llamada SSLStrip que su propio nombre revela para que sirve, así de sencillo he recolectado en mi red privada contraseñas de hotmail, facebook, yahoo, twiter, registros en web’s, etc (contraseñas simpre mias en mi red privada) sin alertas de seguridad.

    Respuesta

Deja un comentario

Tu dirección de correo electrónico no será publicada. Los campos obligatorios están marcados con *

Sígueme