Investigadores aseguran haber conseguido romper la encriptación SSL/TLS
Dos investigadores especializados en seguridad aseguran haber encontrado la forma de romper la encriptación SSL/TLS ampliamente utilizada para garantizar la fiabilidad y privacidad de los datos intercambiados entre navegadores y servidores.
Los investigadores en cuestión, Thai Duong y Juliano Rizzo, demostraron su descubrimiento el 23 de septiembre en el marco de la conferencia de seguridad Ekoparty.
Según estos expertos, las dos últimas versiones del protocolo criptográfico TLS (la 1.1 y la 1.2) son invulnerables al exploit, pero la mayoría de websites, VPN y servicios de mensajería instantánea en operación utilizan la versión 1.0, que sí se ve afectada, por su compatibilidad con la amplia mayoría del resto de tecnologías web.
El exploit, conocido como Beast, se basa en un código de explotación JavaScript que trabaja con un sniffer de red para desencriptar las cookies que transportan las credenciales de los usuarios para acceder a las cuentas.
Según Duong y Rizzo, Beats es el primer ataque que realmente desencripta las comunicaciones https, dado que el resto de amenazas SSL se han basado por lo general en el robo de identidad de sitios certificados como seguros.
Según estos expertos, las dos últimas versiones del protocolo criptográfico TLS (la 1.1 y la 1.2) son invulnerables al exploit, pero la mayoría de websites, VPN y servicios de mensajería instantánea en operación utilizan la versión 1.0, que sí se ve afectada, por su compatibilidad con la amplia mayoría del resto de tecnologías web.
El exploit, conocido como Beast, se basa en un código de explotación JavaScript que trabaja con un sniffer de red para desencriptar las cookies que transportan las credenciales de los usuarios para acceder a las cuentas.
Según Duong y Rizzo, Beats es el primer ataque que realmente desencripta las comunicaciones https, dado que el resto de amenazas SSL se han basado por lo general en el robo de identidad de sitios certificados como seguros.
