domingo, 8 de abril de 2018

SSL es seguro...o eso crees

Siempre se suele decir que HTTP con TLS/SSL es sinónimo de seguridad. No obstante, no es tanto así, ya que desde el punto de vista de los datos, los datos solamente viajan "seguros" en tránsito. Si tienes un keylogger, amigo, da igual que viajen seguros en tránsito. Hoy voy a atacar no a esa seguridad en el viaje, sino a los famosos certificados, algo casi idolatrado en la seguridad informática.



Que un sitio use HTTPS, significa que sus datos viajan cifrados. Esto se consigue gracias a que se usa un cetificado de confianza para los navegadores. El cifrado, es lo de siempre, cifras con privada y descifras con pública. Nuestros navegadores tienen esa clave pública, por lo que puede descifrar ese contenido. Fácil.

Ahora bien, que una página sea HTTPS no quiere decir que la página en sí sea segura. Y es que a finales de 2017 Phishlabs realizó una encuesta en su cuenta de Twitter para ver lo que sus seguidores pensaba que significa el candado verde que aparece en los navegadores. Pues más del 80 % de los votos era que pensaban que el sitio era legítimo/seguro.


Esto nos tiene que hacer pensar, lo primero porque esta cuenta la seguiran usuarios con un poco de conocimientos o interés, por lo cual hay mucha gente-con algo de conocimientos- que está confusa. Es verdad que es una encuesta informal, pero ya tenemos, al menos, unos datos de partida.

Un sitio HTTPS no tiene por qué ser seguro, y es que, aunque no os lo creáis, conseguir un certificado y que tu web vaya en HTTPS es asquerosamente sencillo. Da igual todas las matemáticas de fondo y todos los algoritmos, la forma de conseguir los certificados es sencilla.


Y es que si os vais a cualquier web donde os aporten HTTPS para vuestro dominio, vereis que os saldrá un select y os piden que tengáis una cuenta de correo con la lista que os muestro en la captura anterior. Una de esas cuentas es admin@[Tu dominio], por lo que puedes comprar cualquier dominio y tenerlo en https.


Y seamos sinceros, conseguir un dominio tipo TypeSquating es realmente sencillo. En el ejemplo he buscado si paypal.com está pillado. paypa[i mayuscula]. Parece una l, pero si veis abajo, es paypai.com. Esto, en un correo electrónico donde, aprovechando el <a href> puedes usar esa técnica y que el mismo usuario vea paypal.com cuando es una "i" mayúscula en lugar de una l. También podría buscar paypa.com o wwww.paypal.com. Conseguiría el certificado, mi web viajaría con TLS y mucha gente confiaría en mi web {que puede ser de phishing} e insertar sus datos por confiar.  Pero, apretemos más las tuercas.


Como os he dicho, puedes conseguir el certificado y que tu web vaya en https con una cuenta de correo como admin@[tu dominio]. Pues bien, usamos Have I been Pwned y veremos que, admin@apple.com ha sido hackeada, por lo que cualquier persona podría tener un certificado de Apple ¿Quién va a desconfiar de Apple?


Y como veis, una de las cuentas hackeadas ha sido en 000webhost, un servidor que sirve para alojar tu web. Miedo++.


A Microsoft también le pasa, su cuenta de admin también ha sido hackeada.


También se ha encontrado su cuenta hackeada en 000webhost. Se ve que todos usan el mismo servidor.


Además en sitios de las fuerzas armadas, algo de bitcoins. Asuntos turbios ++.


Lo mejor es que Microsoft emite sus propios certificados, por lo que podríamos tener nuestra web de Phishing+URL Typesquating por menos de 10 € y con el certificado de Microsoft, y claro, nadie va a desconfiar de Microsoft, unas personas que se preocupan mucho por la seguridad de sus usuarios {ironía ++} ¿Quién va a desconfiar de los ángelesy santos de Microsoft con los buenos que son?


También le dejo trabajo a Chema, ya que la cuenta de correo de admin de movistar también ha sido hackeada, y venga, decid cuál ha sido  una de las webs hackeadas en la que aparece esta cuenta.


Sí, 000webhost también. Es decir, tenemos la posibilidad de hacer un gran ataque dirigido con webs en https y con certificados digitales de varias organizaciones grandes.

El usuario es muy confiado, pero que una web sea HTTPS, quiere decir que tus datos van cifrados, aunque la web sea de Phishing, tus datos van cifrados, nadie comprueba nada de la web, sólo que tengas el correo de admin y verifiques el enlace que te enviarán. Sólo eso para poder hacer un gran APT por el que muchas personas se pueden ver afectadas.


No, la web no es segura, tus datos van seguros, pero la web es de Phishing. Aunque claro, si te quieres quedar más tranquilx, al menos tus datos sólo los verá el atacante.

¿Hackeamos el Mundo?

No hay comentarios:

Publicar un comentario

Related Posts Plugin for WordPress, Blogger...

Entrada destacada

El server me sabe a poco.

Soy un fanático del Rock y de Debian . (Creo que voy a inventar Rockbian, que suena bien y todo xD) Llevaba tiempo queriendo unir estos 2 c...