Vulnerabilidades del protocolo HTTPS Jhonatan González, Adriana M. Torres, Peter A. Vargas Escuela de Ciencias Básicas, Tecnología e Ingeniería, Universidad Abierta y a Distancia Bogotá, Colombia
[email protected] [email protected] [email protected] Abstract— Este documento pretende dar a conocer a las comunidades, compañías y demás interesados los principales ataques al protocolo HTTPS o Protocolo Seguro de Transferencia de Hipertexto en páginas Web, pudiendo buscar una implementación de mejores prácticas de Seguridad Informática dentro de sus Sistemas de Información.
I. INTRODUCCIÓN Cada uno de nosotros como seres humanos con una capacidad intelectual de pensar, razonar y tomar decisiones complejas, nos capacitamos día a día con cada suceso que nos ocurre, es por esto que como parte adicional nos capacitamos voluntariamente para aumentar nuestro conocimiento en un área específica y poder practicarlo a futuro, satisfaciendo unas necesidades personales de nuevo conocimiento que ayudarán en nuestro trabajo como profesionales y en nuestra familia como personas de sociedad. El curso de Proyecto de Grado nos prepara para la presentación de nuestro proyecto de grado como su nombre lo indica, siendo este un requisito importante para graduarnos como Ingenieros en Sistemas. En este trabajo se realizará un artículo que pretenda presentar en una ponencia nacional o internacional el presente proyecto y publicarla en una revista indexada que presente la información contenida de la propuesta completa elaborada durante el desarrollo del curso. II. Principales Ataques del Protocolo HTTPS Una de las herramientas más importantes para el desarrollo de todo tipo de actividades que han aparecido a lo largo del siglo XX, ha sido el computador, y de la mano de este las comunicaciones mediante Internet. Es por ello que las empresas han hecho un gran uso de esas herramientas para facilitar la ejecución de sus tareas y para comunicarse con sus clientes, ofreciendo por un lado una amplia gama de opciones eficientes para hacer las cosas, y, por otro lado, los avances tecnológicos en el desarrollo hacen que cada día sea más sencillo implementar soluciones de TI sin necesidad de contar con mucho conocimiento. La facilidad que existe actualmente para la implementación de servicios web empresariales ha permitido que se deje de lado la debida estructuración y documentación de medidas y políticas de seguridad de la información a nivel corporativo.
Es común pensar que el protocolo HTTPS ofrece todos los niveles de seguridad requeridos para una transacción en particular, dejando de lado la investigación y la apropiación del conocimiento relacionado con las vulnerabilidades propias de dicho protocolo. Esto ha permitido que se pasen por alto aspectos de seguridad importantes de dicho protocolo permitiendo ataques al mismo. Los ataques al protocolo HTTPS vienen en incremento en los últimos 5 años, debido al auge de la implementación de servicios web transaccionales, como las compras y los pagos en línea, es por lo anterior que se realiza una investigación, realizando una evaluación, caracterización y documentación de las principales vulnerabilidades del protocolo HTTPS, con el objetivo de dar a conocer a las comunidades, compañías y demás interesados, el conocimiento para implementar mejores prácticas de seguridad informática dentro de sus sistemas de información. A. Vulnerabilidades Los estudios realizados para la identificación de las 3 vulnerabilidades principales del protocolo HTTPS arrojan como resultado de acuerdo a la frecuencia y a la gravedad con la que se presenta una vulnerabilidad lo siguiente: 1) Contenido Estático: HTTPS es vulnerable cuando se aplica a contenido estático de publicación disponible. El sitio entero puede ser indexado usando una araña web, y la URL del recurso cifrado puede ser adivinada conociendo solamente el tamaño de la petición/respuesta, permitiendo al atacante tener acceso al texto plano o contenido estático de la publicación, y al texto cifrado que es la versión cifrada del contenido estático, permitiendo un ataque criptográfico. El nivel de protección del HTTPS depende de la exactitud de la implementación del navegador web, del software del servidor y de los algoritmos de cifrado actualmente soportados. 2) Freak Attack: 2. El denominado FREAK attack, en donde se lanza un ataque desde sitios aparentemente seguros, pertenecientes a una variedad de organizaciones que va desde entidades gubernamentales de Estados Unidos como la propia Casa Blanca hasta bancos. De esta forma, se obligaba a los navegadores a usar una técnica de cifrado notablemente más débil, lo que habilita el robo de información personal que estos alojan, como credenciales de acceso a servicios web.
3) Debilidad en RC4: Debilidad en el cifrado RC4, que suele ser utilizado para comunicaciones SSL/TLS que sustentan las especialmente para transacciones monetarias atraviesan redes no fiables.
algoritmo de asegurar las páginas web, y cuando se
B. Estudios Realizados Entidades públicas, como privadas, han ahondado esfuerzos con el fin de determinar las dimensiones de la vulnerabilidad Freak Attack, un ejemplo de ello fue el estudio realizado por el equipo de Censys el 03 de marzo de 2015, mediante el cual se buscó determinar quién es vulnerable a este tipo de ataque, para ello se identificó que servidores permiten o aceptan RSA_Export, el cual es un tipo de cifrado que deja bajar el nivel de seguridad del protocolo HTTPS, que es la parte clave de la vulnerabilidad, estadísticamente se determinó lo siguiente. TABLA I ESTADÍSTICAS PARA FREAK ATTACK
Servidores HTTPS en Alexa Top 1 millón de nombres de dominio Servidores HTTPS con certificados de confianza para el explorador Todos los servidores
Actualmente Vulnerables
Cambiaron después del 03 de marzo
8.5%
Por debajo del 9.6%
6.5%
Desde el 36.7%
11.8%
Por debajo de 26.3%
Es importante precisar que esta información se tiene como fuente de información los portales web registrados en Alexa. Esta página tiene las páginas web más utilizadas en el mundo y hasta clasificadas por países, por lo que esta es una muestra bastante considerable. Es este mismo estudio también se identificó los navegadores web vulnerables y cuales tiene un parche de seguridad. TABLA II NAVEGADORES VULNERABLES Navegadores Vulnerables Explorador de Internet Chrome Mac OS Chrome Android Safari Mac OS Safari Android Navegador Android Navegador Blackberry Opera en Mac OS
Estado Parche disponible ahora Parche disponible ahora Parche disponible ahora Parche disponible ahora Parche disponible ahora Parche disponible ahora Parche disponible ahora Parche disponible ahora
C. Pretensión Con lo anterior es posible no solo dar a conocer las principales vulnerabilidades del protocolo HTTPS, sino también generar una cultura de implementación de mejores prácticas de seguridad informática a la hora de crear sistemas de información para las comunidades, compañías e interesados en general.
III. CONCLUSIONES Actualmente, las organizaciones e instituciones en general dependen de la debida manipulación de su principal activo: la información. Esto se da porque centran sus actividades en los medios digitales. Una de las tareas más importantes que se deben ejecutar para mantener esa información es dotar sus sistemas e infraestructuras tecnológicas de políticas y medidas de protección adecuadas que garanticen la continuidad de sus actividades, dándole con eso gran importancia a la labor del profesional capacitado y en continuo proceso de investigación y actualización en temas de seguridad que estén en la capacidad de implementar y gestionar de mejor la manera los sistemas de información. El aporte de esta investigación es significativo desde la óptica de la Ingeniería de Sistemas, ya que obliga a salir de zona de confort a los desarrolladores de software y usuarios finales, en relación con la utilización del protocolo HTTPS, porque incentiva la investigación y la generación de conocimiento de los diferentes aspectos que se deben tener en cuenta para la implementación de servicios informáticos seguros. Se debe dejar de lado el diseño de sistemas pensando en la Funcionalidad, pero pasando por alto la seguridad, y con investigaciones de este tipo se espera establecer una correspondencia y pertinencia entre las técnicas adoptadas conformando un sistema de seguridad desde las mismas etapas de análisis y diseño. Se generan nuevos interrogantes y problemáticas expectantes de una solución transversal desde la óptica del desarrollo de software, con nuevos protocolos o mecanismos automáticos de protección, desde la perspectiva del usuario final como del administrador de tecnologías de la información y la comunicación. A pesar de que el protocolo seguro de transferencia de hipertexto o HTTPS, es un protocolo de aplicación basado en el protocolo HTTP pero destinado a la transferencia segura de datos de Hipertexto, este presenta algunas vulnerabilidades siendo susceptible de ataques hackers, en los cuales, según el estudio realizado más a fondo se pudo evidenciar 3 tipos principales de estas vulnerabilidades: El primero, es cuando se aplica a contenido estático de publicación disponible, siendo el sitio entero indexado usando una araña web, y pudiéndose la URL del recurso cifrado ser adivinada al conocer solamente el tamaño de la petición/respuesta, permitiendo al atacante tener acceso al texto plano o contenido estático de la publicación, y al texto cifrado que es la versión cifrada del contenido estático, permitiendo un ataque criptográfico. El segundo, denominado Freak Attack, en donde se lanza un ataque desde sitios aparentemente seguros, pertenecientes a una variedad de organizaciones seguras como entidades gubernamentales o bancos, obligando a los navegadores usar una técnica de cifrado notablemente más débil, habilitando el robo de información personal que estos alojan, como credenciales de acceso a
servicios web. Y tercero, la debilidad en el algoritmo de cifrado RC4, que suele ser utilizado para asegurar las comunicaciones SSL/TLS y sustenta las páginas web, especialmente para transacciones monetarias y cuando se atraviesan redes no fiables. Por medio de la presente investigación se encuentra una necesidad constante de estudio del protocolo HTTPS, demostrando la necesidad de búsqueda de debilidades así, como como en diferentes áreas de sistemas que permitan una evolución y mejora continua en rendimiento y fortalecimiento de debilidades, debido a que personas malintencionadas con muchos conocimientos se toman el tiempo para encontrar estas fallas.
RECONOCIMIENTOS Se agradece la realización del presente proyecto principalmente al señor tutor Wilmar Liberto Copete que ha estado atento al desarrollo del mismo a lo largo de la materia. Igualmente se agradece a los diferentes autores del material bibliográfico consultado a lo largo de la materia, que con sus conocimientos expusieron ideas y dieron a conocer estudios relacionados al protocolo HTTPS.
[1]
[2]
[3]
REFERENCIAS William J. y Hatt, Paul K., 1976. Métodos de investigación social. Trillas. DF, México. Mendieta Alatorre, Ángeles. 1980. Métodos de investigación y manual académico. 13a. edición. Porrúa. DF, México. Métodos y técnicas cualitativas de investigación en ciencias sociales. 1994. Editores: Juan Manuel Delgado y Juan Gutiérrez. Editorial Síntesis, S.A. Madrid, España. Padua, Jorge y otros. 1979. Técnicas de investigación aplicadas a las ciencias sociales. Fondo de Cultura Económica. DF, México.
