martes, 24 de febrero de 2009

Tambalea SSL?

SSL (Secure Sockets Layer). Protocolo diseñado por la empresa Netscape para proveer comunicaciones encriptadas en internet.
La empresa VeriSign es la encargada de emitir los certificados digitales RSA para su uso en transmisiones seguras por SSL, especialmente para la protección de sitios con acceso por HTTPS. Por ejemplo, páginas que utilizan tarjetas de créditos.
SSL da privacidad para datos y mensajes, además permite autentificar los datos enviados.
Los certificados SSL contienen una clave pública y otra privada. La clave pública se utiliza para cifrar la información y la privada para descifrarla. Cuando un navegador se dirige a un dominio seguro, se produce una "presentación SSL" que autentica al cliente y el servidor y establece un método de cifrado y una clave de sesión única. Entonces pueden comenzar una sesión segura que protege la privacidad e integridad del mensaje.

Suena bastante seguro verdad?

Pues bueno, ahora en la conferencia Black Hat (Sombrero Negro ... cualquier similitud con el nombre del blog es pura coincidencia ejem!) Moxie Marlinspike demostraba cómo eludir la autenticación y el cifrado SSL de las páginas supuestamente seguras centrandose en una astuta combinación de técnicas que permiten confundir a los usuarios sobre si están o no en la página correcta. Ninguna de las técnicas usadas es en realidad nueva, pero todas juntas forman una "interesante" herramienta llamada sslstrip.

http://www.thoughtcrime.org/software/sslstrip/index.html

Asi que a partir de ahora desconfíe un poco mas cuando inicie una transferencia "segura"

lunes, 23 de febrero de 2009

Bienvenidos a Sombreros Negros

Este es un espacio donde encontraras articulos relacionados con la in-seguridad informatica, novedades, etc