Investigador detecta fallas importantes en los navegadores y el protocolo SSL

Un investigador de seguridad encontró una serie de problemas fundamentales en la forma en como los navegadores modernos están diseñados y construidos, dando lugar a serias dudas sobre la seguridad de estas aplicaciones y la forma en que manejan las sesiones SSL. 

La investigación realizada por Robert Hansen de SecTheory, muestra que los navegadores como Firefox, Internet Explorer y Chrome tienen una serie de problemas arquitectónicos que en esencia  pueden negar la seguridad SSL que ofrecen para los productos sensibles a transacciones web. Las técnicas que Hansen ha desarrollado, y que demostró en la conferencia Black Hat el día hoy, da a un atacante la posibilidad de hacer cualquier cantidad de cosas desagradables a un equipo señalado como blanco, incluso forzar la descarga de un archivo ejecutable, remplazar el campo URL en el navegador y sobrescribir las cookies de seguridad HTTPS con valores no seguros. 

En total, Hansen encontrado 24 problemas antes de que decidiera dejar de buscar. "Básicamente, tuve que detener la investigación simplemente porque son demasiados problemas. No tenía tiempo para ocuparse de más", mencionó. 

Una gran parte del problema, dijo Hansen en una entrevista, es que los navegadores no hacen cumplir las políticas de aislar las pestañas abiertas dentro del navegador. Esto permite el  atacante que puede controlar una de esas pestañas, por ejemplo una sesión normal no SSL, también pueda  afectar el contenido en las otras pestañas, incluso si está usando SSL. 

Hansen identificó varias técnicas que le permitieron ver una sesión de SSL protegida y obtener mucha información acerca de lo que el usuario realiza basándose en el tiempo empleado para que determinadas partes de la sesión Web fueran cargadas. También pudo determinar si un usuario está conectado en un sitio web especifico y al emplear una técnica especial, registrar cuando el usuario finaliza la sesión, por lo que puede observar la operación de inicio de sesión y robar las credenciales. 

"¿Cuándo uno ve en él, ve lo que realmente ofrecen SSL? Lo que esto significa es que para el usuario promedio, a diferencia de adversario determinado, realmente no hay protección", dijo Hansen, quien presentó sus hallazgos  el día de hoy dentro de la conferencia Black Hat. "La gente le da a SSL y TLS mucho crédito, cuando no deberían tener ninguno en absoluto." 

SSL es el principal protocolo de transportes usado por millones de sitios Web para proteger los datos enviados por los navegadores hacia los servidores Web. Se ha demostrado que es vulnerable a una serie de ataques diferentes, entre los que se incluyen variedades de  "hombre-en -medio ", y que podría ser usadas en conjunto con algunas de las técnicas de Hansen para comprometer completamente una sesión Web supuestamente segura. 

"Lo más importante es que si un atacante puede mapear el dominio con antelación, él puede tener una buena idea de cómo realmente el sitio está constituido", dijo Hansen. "Si hay un canal lateral, puedo obligarlos a precargar el cache de algunos de los contenidos de la página para que no sean vistos la siguiente ocasión que vuelva a cargarla. Entonces, lo único que estamos viendo son las cosas que son interesantes al atacante. Puede trazar el flujo de los usuarios entorno al sitio, y el atacante puede obligar al usuario a realizar una conexión SSL a ellos,  así que pueden decir qué  encabezados SSL y HTTP se están enviando en qué dirección. Se trata de reducir el número de bytes que son interesantes. " 

Al ver lo preocupante que pueden ser todos los problemas que Hansen  encontró, hizo hincapié "If there was better jitter and padding in SSL, a lof of this wouldn't even be possible."