Ha ocurrido algo horrible.
Pude haber ido a la charla de Bruce Schneier (si, el de la cerveza), pero como me estaba escapando del trabajo y pensé que no iba a haber lugar, no lo hice.
Nadie puede imaginar la vergüenza e infelicidad que me dió cuando me enteré de que la sala estaba por la mitad. A la organización de segurinfo sólo le puedo cuestionar que habían pocas servilletas, a los (in)asistentes, todo. Mucho traje, poco cerebro. Punto.
La charla de Julio Ardita y Marcelo Stock acerca de desarrollo seguro estuvo bien, nada especial.
La charla de Claudio Caracciolo, el aire es libre, fué fenomenal. El engaño que expuso consiste en que uno entra en http://loquesea.com/login en lugar de https://loquesea.com/login. Los detalles se los dejo a él, no soy periodista. Si no fuera por el rant anterior y por el script que pego abajo, esta entrada no tendría razón de ser.
Para quienes le tienen miedo a sslstrip, que es parte del stack de su ataque, acá comparto un userscript para firefox. Al cargarlo por primera vez quedan los include en la configuración. No tiene sentido usar listas interminables de urls de login mantenidas por la comunidad por el overhead administrativo, en mi humilde opinión. Si uno sabe lo que navega normalmente, en cinco minutos prepara los includes y listo. Tengo la impresión de que hay un add-on que hace lo mismo con una bruta lista, pero para scriptish es una linda manera de evitar la polución del browser.
La idea es que estos scripts se activan para las urls que uno le dice. Si uno entra en una página por http en la que quería entrar por https, avisa.
// ==UserScript==
// @id 004
// @name no sslstrip
// @version 1.0
// @namespace
// @author dev4sec
// @description
// @include http://accounts.google.com/*
// @include http://login.live.com/*
// @include http://www.facebook.com/login.php*
// @include http://login.yahoo.com/*
// @run-at document-start
// ==/UserScript==
alert("Posible sslstrip");
Y ahora, el infaltable glosario:rant: se deduce del contexto
sslstrip (http://www.thoughtcrime.org/software/sslstrip/): un programita que puesto en el lugar apropiado abre una conexión https por nosotros, dándonos gentilmente los mismos contenidos, pero en http. Ah, en retribución se queda con nuestro tráfico en texto plano.
userscript (http://scriptish.org/): firefox tiene un add-on llamado scriptish, que llama nuestros scripts sobre la página actual. Se puede modificar la página, hacer algunas pruebas de seguridad, cosas así.
No hay comentarios:
Publicar un comentario