Un nuevo ataque a los flujos de comunicación supuestamente seguros plantea interrogantes sobre la capacidad de recuperación de contraseñas, advierten los investigadores de seguridad.

El ataque HTTPS Bicycle puede resultar en la exposición de datos personales y secretos, tales como contraseñas y coordenadas GPS, desde una captura de paquetes de tráfico HTTPS de un usuario.

El ataque, descubierto por el investigador de seguridad Guido Vranken, centra la atención en temas tales como el cifrado, autenticación, privacidad y más específicamente la seguridad de las contraseñas.

Generalmente se asume que el tráfico HTTP encapsulado en TLS no revela los tamaños exactos de sus partes, tales como la longitud de una cabecera de cookies o la carga útil de una petición HTTP POST (que puede contener credenciales de longitud variable, como contraseñas). En este trabajo se muestra que la redundancia de las cabeceras HTTP de texto sin formato incluido en todas y cada una de las peticiones puede ser explotada para revelar la longitud de los componentes particulares (como contraseñas) de las peticiones específicas (como la autenticación de una aplicación web).

La redundancia de HTTP en la práctica permite una resolución iterativa de la longitud de incógnitas en un mensaje HTTP, hasta que las longitudes de todos sus componentes sean conocidos a excepción de un secreto codiciado, tal como una contraseña, cuya longitud queda entonces implícita. El ataque explota, además, las características de cifrado de flujo orientadas, como las basadas --en el modo de Galois/Counter.

Carl Leonard, analista principal de la firma de herramientas de seguridad Raytheon|Websense, comentó: "Los usuarios finales pueden esperar que sus contraseñas se mantengan en secreto cuando interactúan con un sitio web que utiliza el cifrado, pero HTTPS Bicycle muestra que este puede no ser el caso. El conocimiento es poder para un atacante, e incluso pequeñas piezas de información pueden conducir a un ataque más refinado."

Determinar incluso la longitud de una contraseña puede reducir el abanico de posibilidades y, por lo tanto, hacer posteriores ataques de fuerza bruta más eficaces, dijo Leonard: "La naturaleza indetectable de este ataque significa que es vital que los administradores web consideren el uso de contraseñas seguras y autenticación de dos factores para eliminar el punto único de fallo." 

"Los usuarios finales deben asegurarse de que sus contraseñas son lo suficientemente fuertes, mientras que los operadores de sitios web y desarrolladores de la plataforma web deben asegurarse de estar totalmente al día para garantizar que se tomen todas las medidas para evitar que este ataque se produzca en el futuro".