Se lanza herramienta criptográfica para acceder a contenido HTTPS.

HTTPS Cracking Tool
Tres investigadores descubrieron un ataque criptográfico que se puede utilizar para tomar la información sensible del tráfico HTTPS en menos de 30 segundos, han lanzado una herramienta para ayudar a los operadores de sitios web ver si sus sistemas son vulnerables.

Los detalles de BREACH, abreviatura de Browser Reconnaissance and Exfiltration via Adaptive Compression of Hypertext, el ataque se reveló por primera vez el mes pasado en la conferencia de seguridad de la información Black Hat en Las Vegas por Angelo Prado ingeniero jefe de seguridad de producto para Salesforce.com, el ingeniero de seguridad de la aplicación “SQUARE” Neal Harris y  el principal ingeniero de seguridad de Salesforce.com Yoel Gluck .

Su presentación provocó que el Departamento de Seguridad Nacional USA advertiera que “un atacante sofisticado puede ser capaz de obtener secretos de texto sin formato del texto cifrado en un flujo HTTPS”, y que todas las versiones de los protocolos Transport Layer Security (TLS) y Secure Sockets Layer (SSL) son vulnerables.


El ataque consiste en ver “el tamaño del texto cifrado recibido por el navegador, mientras que la activación de una serie de peticiones estratégicamente diseñadas a un sitio de destino”, según detalles del exploit que los desarrolladores han compartidos con el DHS, “para recuperar algún secreto en particular en un cuerpo de respuesta HTTPS, atacante adivina carácter por carácter enviando un prr de solicitudes de cada suposición, cada suposición correcta dará como resultado una pequeña respuesta HTTPS”, dijo el DHS, Prado ha dicho previamente que la elaboración de una solución para HTTPS en sí será una tarea “no trivial ” .

Mientras tanto, él y sus compañeros de investigación esta semana lanzaron una herramienta para lanzar un ataque BREACH para realizar pruebas, su herramienta está disponible tanto en forma de código fuente con instrucciones y como binario precompilado.

Para utilizar la herramienta, ” se necesita un computador con Windows o [máquina virtual] para generar y ejecutar la herramienta”, dijo Prado en una entrevista por correo electrónico, otros requisitos incluyen .NET Framework 3.5+ y Visual Studio 2010 o más reciente, para cualquier persona que quiere modificar el código se encuentra disponible en GitHub, la herramienta se ha probada con Windows 7.

Agregar un comentario

Su dirección de correo no se hará público. Los campos requeridos están marcados *