Dos investigadores afirman haber desarrollado un nuevo ataque capaz de descifrar cookies en sesiones con conexiones HTTPS (Hipertext Tranfer Protocol Secure) Protocolo de transferencia segura.

Los sitios web utilizan las cookies para recordar datos de identificación de usuarios, si algún atacante logra tener acceso a estas cookies mientras aún se esté autenticado en el sitio, el criminal puede acceder a la cuenta del usuario dentro de todo el sitio.

El HTTPS debería prevenir este tipo de hijacking (secuestro) gracias al cifrado de cookies de sesión mientras se envían o se almacenan en el navegador, sin embargo, este nuevo ataque diseñado por los investigadores Juliano Rizzo y Thai Duong puede descifrarlas. Rizzo y Duong nombraron al ataque CRIME, planean presentarlo a finales de este mes en la conferencia de seguridad Ekoparty celebrada en Buenos Aires, Argentina.

El ataque afecta una vulnerabilidad específica del protocolo de cifrado TLS (Transport Layer Security) y su predecesor, el protocolo SSL (Secure Sockets Layer), los cuales son utilizados para implementar el HTTPS.

Todas las versiones de SSL y TLS se ven afectadas, la vulnerabilidad atacada es usualmente utilizada en los despliegues SSL/TLS, mencionó Rizzo en un correo anteriormente, el investigador rechazó revelar cuál es la característica vulnerable antes de la presentación en Ekoparty.

El código de CRIME, conocido como un agente, se necesita instalar en el navegador del usuario, esto se puede realizar engañando al usuario para redirigirlo a un sitio falso o en su defecto, si el atacante tiene control sobre la red de la víctima, inyectar el código de ataque en una conexión HTTP.

CRIME no necesita de algún plugin en el navegador para funcionar, el JavaScript es utilizado para hacerlo más rápido, sin embargo puede implementarse sin necesidad de él, explicó Rizzo.

EL atacante está habilitado también para detectar el tráfico HTTPS de la víctima dentro de una red inalámbrica, una red local (LAN), utilizando técnicas como ARP spoofing o accediendo al control del router de usuario a través de una vulnerabilidad o de la contraseña preestablecida. Para que el ataque funcione, ambas partes necesitan apoyar la vulnerabilidad en SSL/TLS, tanto el usuario como el servidor que hospeda la página que se quiere afectar, mencionó Rizzo.

Rizzo confirmó que las implementaciones de HTTPS en algunos de los sitios más populares son vulnerables al ataque, sin embargo se negó a mencionar el nombre de alguno. 

CRIME fue probado con éxito en Mozilla Firefox y Google Chrome, sin embargo otros navegadores pueden ser afectados, subrayó. 
Mozilla y Google ya han preparado los parches que bloquean el ataque, sin embargo estos no han sido liberados todavía, dijo el investigador.

El año pasado en la Ekoparty, Rizzo y Duong presentaron un ataque llamado BEAST (Browse Exploit Against SSL/TLS) el cual era capaz de descifrar las cookies en sesiones HTTPS, este ataque afectó SSL 3.0 y TLS 1.0 cuando se usaba en ciertos cifrados instalados.

Mitigar BEAST involucra actualizar a TLS 1.1 o 1.2, la última versión del protocolo TLS o priorizar cifrados que no se vean afectados  basados en RC4 para las versiones anteriores del protocolo. Sin embargo, esta solución no funciona con CRIME, además de que ataca una vulnerabilidad que se presenta en todas las versiones de SSL/TLS, el ataque no depende de algún cifrado en particular,  subrayó Rizzo.

De acuerdo con los datos de SSL Pulse, un proyecto que monitoreó implementaciones SSL/TLS, el 72% de los 184mil principales sitios habilitados con HTTPS todavía seguían siendo vulnerables al ataque BEAST a principios de agosto.