New Attack Uses SSL/TLS Info Leak to Hijack HTTPS Sessions

En este subforo se encuentran noticias relacionadas con la informática.

Moderador: Moderadores

New Attack Uses SSL/TLS Info Leak to Hijack HTTPS Sessions

Notapor vlan7 » Mié Sep 05, 2012 8:49 pm

There is a crack, a crack in everything That's how the light gets in. -subculture

zen7.vlan7.org
Avatar de Usuario
vlan7
<|:-D
<|:-D
 
Mensajes: 1176
Registrado: Dom Mar 05, 2006 11:16 pm
Ubicación: Mas alla del EIP

Re: New Attack Uses SSL/TLS Info Leak to Hijack HTTPS Sessio

Notapor konquet » Jue Sep 06, 2012 5:54 am

He entendido algo pero no todo... Una version resumida en español?

Si no entiendo mal, que se me da fatal muchos verbos... Han encontrado un modo de sniffar HTTS via javascript?
konquet
<|:-)
<|:-)
 
Mensajes: 261
Registrado: Vie Ene 19, 2007 8:48 pm

Re: New Attack Uses SSL/TLS Info Leak to Hijack HTTPS Sessio

Notapor vlan7 » Mar Sep 11, 2012 6:46 pm

Hola,

Con cualquier ataque MitM puedes capturar trafico independientemente de que el trafico este cifrado o no. En la ekoparty del año pasado esos dos tipos presentaron su herramienta BEAST que permitia mediante fuerza bruta atacar conexiones https, tanto si el cifrado era SSL como TLS.

Como lo que se ataca es SSL/TLS, el ataque es independiente de que la victima escriba http o https explicitamente en el navegador (herramienta ssltrip, que lo que atacaba era la redireccion http -> https).

En la ekoparty de este año presentaran una evolucion que segun dicen no requiere que la victima ejecute ningun javascript.

Hay mas info de BEAST (y otras cosas relacionadas) en este hilo

Un saludo,
Última edición por vlan7 el Mié Sep 12, 2012 9:20 pm, editado 1 vez en total
There is a crack, a crack in everything That's how the light gets in. -subculture

zen7.vlan7.org
Avatar de Usuario
vlan7
<|:-D
<|:-D
 
Mensajes: 1176
Registrado: Dom Mar 05, 2006 11:16 pm
Ubicación: Mas alla del EIP

Re: New Attack Uses SSL/TLS Info Leak to Hijack HTTPS Sessio

Notapor NewLog » Mié Sep 12, 2012 2:13 pm

A todo esto... La tool es pública? Porqué ayer leí un tweet que decía exactamente esto... Tanto cuento, pero me parece que no hay nada publicado.

A ver si confirmáis!
Imagen
http://www.overflowedminds.net - Quieres introducirte al exploiting?
Avatar de Usuario
NewLog
<|:-D
<|:-D
 
Mensajes: 1130
Registrado: Sab Ene 14, 2006 1:03 am

Re: New Attack Uses SSL/TLS Info Leak to Hijack HTTPS Sessio

Notapor vlan7 » Mié Sep 12, 2012 9:13 pm

Pues oficialmente no http://netifera.com/research/beast/

Aqui esta el decryptor del PoC original en Java http://packetstormsecurity.org/files/author/2672/

Y aqui tienes el twitter de Rizzo https://twitter.com/julianor

De todas formas, aclarar que el cifrado en si no es que lo hubieran roto, bueno depende de como se le quiera llamar, pero con BEAST la contraseña de la victima no la sabe el atacante. En el video del PoC si que acaba logeandose en el paypal de la victima, pero usando cookies.

Y para ello la victima tiene que ejecutar un javascript, o un applet malicioso. Este applet en el PoC de BEAST se pasaba por el forro la same-origin-policy que viene de serie en los navegadores, de tal forma que un atacante podia ver y cambiar las cookies que paypal seteaba en la victima. Entonces por fuerza bruta iban mandando peticiones y comparando resultados hasta obtener el vector de inicializacion, de tal forma que a partir de ese momento el atacante era capaz de adivinar que cookies iba a presentar la URL atacada.

Entonces el atacante enviaba a paypal las cookies que necesitaba para hacerse pasar por la victima, y estaban dentro de paypal tanto la victima como el atacante.

Eso si, en cuanto la victima hiciera logout de paypal (o simplemente cerrara el navegador), el atacante ya no estaria dentro de paypal.

Pues bien, segun anuncian ya no es necesario que la victima ejecute ningun applet_java/javascript/lo_que_sea malicioso.

Por supuesto, el ataque MitM va aparte.

Ok, no hay matematicas en mi post, pero la vida es muy corta para asimilar todo lo que ya existe asi que uno prefiere quedarse con estas pinceladas. Espero al menos haberlo entendido bien!

Un saludo,
There is a crack, a crack in everything That's how the light gets in. -subculture

zen7.vlan7.org
Avatar de Usuario
vlan7
<|:-D
<|:-D
 
Mensajes: 1176
Registrado: Dom Mar 05, 2006 11:16 pm
Ubicación: Mas alla del EIP


Volver a Noticias

¿Quién está conectado?

Usuarios navegando por este Foro: No hay usuarios registrados visitando el Foro y 3 invitados