Vulnerabilidad en autenticación no encriptada

vsantivirus nos cuenta:

El US-CERT advierte sobre sitios Web que transmiten señales de autenticación sin encriptar. Debido a ello, las cookies utilizadas por algunos servicios de Internet, pueden ser interceptadas por un atacante.

Algunos sitios Web transmiten esta autenticación sin ninguna clase de cifrado durante la sesión entera, aún cuando éstas son iniciadas sobre una sesión HTTP encriptada.

Este comportamiento, podría permitir a un atacante en la red, usurpar las credenciales de un usuario legítimo.

Sitios que aplican cookies de autenticación sobre un inicio de sesión HTTPS (protocolo seguro), y luego transmiten las cookies sobre HTTP (protocolo no seguro), son particularmente vulnerables, puesto que es más probable que los usuarios piensen que la seguridad de la página a la que están conectados se aplica a toda la sesión.

Las cookies HTTP son textos que envía el servidor Web al navegador. Las cookies se transmiten después al servidor cuando el navegador tiene acceso al sitio Web.

Algunos sitios pueden autenticar a un usuario con un nombre y contraseña y crear una cookie con un identificador único, para responder a las futuras peticiones de autenticación.

Para aumentar la seguridad, el sitio Web puede borrar la cookie cuando el usuario abandona la sesión habilitando el atributo opcional "Secure" en el cabezal de respuesta "Set-Cookie", o haciendo que la cookie expire después de un tiempo específico.

Barras de herramientas o extensiones utilizadas por los navegadores, pueden también enviar credenciales de autenticación (cookies) a los sitios o servicios Web.

Sitios que utilizan cookies para autenticación sobre protocolos de texto plano tales como HTTP, son vulnerables a que ésta autenticación sea interceptada, simplemente accediendo al tráfico que transporta a la cookie.

Luego de ello, el atacante podría utilizarla como credencial de autenticación, tomando cualquier clase de acción en el sitio Web, como si se tratara del propio usuario. Son afectados especialmente aquellos sitios que ofrecen un software como servicio.

El cifrado nulo es una opción válida al usar HTTPS, de acuerdo a las especificaciones originales del SSL (Secure Socket Layer, la tecnología que utiliza criptografía para cifrar los datos que se intercambian con un servidor seguro).

Para minimizar los riesgos, se aconseja al usuario que inicia sesión en una dirección HTTPS://, observar que la misma se mantenga así y no cambie a HTTP:// mientras se navega.

También es aconsejable al abandonar una sesión, utilizar la opción correspondiente en el sitio Web, y no solo cerrar la ventana o acceder a otra dirección (sitio) de Internet. Esto disminuye las posibilidades de que un atacante obtenga las credenciales del usuario y explote la vulnerabilidad.

Algunos sitios actualmente vulnerables:

* Google
* Microsoft Corporation
* Yahoo

Sitios probablemente vulnerables:

* eBay
* MySpace.com

Tenga en cuenta que cualquier otro sitio que utilice usuario y contraseña para ofrecerle alguna clase de servicio podría ser vulnerable.


Más información:

Vulnerability Note VU#466433
Web sites may transmit authentication tokens unencrypted
http://www.kb.cert.org/vuls/id/466433