Villacorp Blog Exclusivo en Mexico de Contraespionaje y Hacking Profesional

Web Hacking 2011 (SSL)

SSL es la tecnología más Crìtica para la protección de nuestras comunicaciones en Internet. Se emplea para asegurar la transmisión de contraseñas en Portales Bancarios, de mensajería como Gmail, Yahoo y Hotmail; en Sistemas Empresariales de correo electrónico como Outlook Web Access y Lotus Notes, en portales de Comercio Electrónico, así como en el acceso a redes privadas VPN-SSL.

Por su importancia estratégica, este año los hackers e investigadores en seguridad le dedicaron especial atención, encontrando diversos ataques que ponen en riesgo la privacidad de nuestros datos.

Ssl Session Sidejacking (Sslstrip, Hamster, Ferret, Firesheep)
http://securitytube.net/video/1998
http://www.securitytube.net/video/2537
La combinación de estas herramientas permite interceptar y desencriptar automáticamente las contraseñas de los usuarios de cualquier aplicación SSL. Es un ataque muy peligroso, sobre todo en redes inalámbricas públicas.

Man-in-the-Middle Attack
https://threatpost.com/en_us/blogs/new-attack-breaks-confidentiality-model-ssl-allows-theft-encrypted-cookies-091611
http://www.theregister.co.uk/2011/09/19/beast_exploits_paypal_ssl/
http://www.reddit.com/r/netsec/comments/kl1lr/hackers_break_ssl_encryption/
http://it.slashdot.org/story/11/09/20/1833232/Hackers-Break-Browser-SSLTLS-Encryption
http://www.schneier.com/blog/archives/2011/09/man-in-the-midd_4.html
http://nakedsecurity.sophos.com/2011/09/24/secure-web-browsing-cracked-by-beast/
http://www.imperialviolet.org/2011/09/23/chromeandbeast.html
https://blog.torproject.org/blog/tor-and-beast-ssl-attack
Ataque extremadamente peligroso, porque aplica a las versiones más recientes de SSL y TLS. La herramienta "BEAST" permite interceptar y desencriptar comunicaciones privadas. Varios fabricantes como Microsoft aún no han solucionado la falla, no existe "parche" disponible.

Database of Private SSL Keys Published
http://it.slashdot.org/story/10/12/20/1414210/Database-of-Private-SSL-Keys-Published
http://www.reddit.com/r/netsec/comments/eok7l/littleblackbox_database_of_private_ssl_keys_for/
https://code.google.com/p/littleblackbox/
http://seclists.org/fulldisclosure/2010/Dec/492
La seguridad de SSL se basa en guardar en secreto las llaves privadas de encriptación. Sin embargo, este año se filtraron en Internet una enorme cantidad de llaves para equipos de red, permitiendo que hackers las puedan usar para lanzar ataques furtivos.

THC SSL DoS/DDoS Tool
http://www.darknet.org.uk/2011/10/thc-ssl-dosddos-tool-released-for-download/
http://packetstormsecurity.org/files/106155/thc-ssl-dos-1.4-win-bin.zip
http://isc.sans.org/diary/The+Theoretical+SSL+Renegotiation+Issue+gets+a+Whole+Lot+More+Real+/11893
http://it.slashdot.org/story/11/10/26/0327251/new-attack-tool-exploits-ssl-renegotiation-bug
Esta herramienta la mencioné con anterioridad. La incluyo aquí sólo como referencia, porque afecta directamente a SSL.