[Comunidad] Charla para el Flisol

[Paco]

On Fri, Apr 25, 2014 at 10:30:11AM -0500, Jorge Martín wrote:
> Un ejemplo sencillo seria si la página de Banco General fuera vulnerable, y
> un hacker logra sacar la llave privada de banco general, es tan fácil como
> irte a la UTP, esnifear los WiFi abiertos que hay allí y recoger todos los
> usuarios y claves de todo el que se conecte a Banco General desde esos WiFi.
> 

Sí, pero no es el caso con Banco General, ellos usan IIS y su banca
en línea está en ASP, nada de esas tonterías opensource vulnerables ;)

El caso de Banco General es interesante, si te fijas en la
encriptación que usan puedes ver (por lo menos para mí) es
TLS_RSA_WITH_AES_128_CBC_SHA, esto quiere decir que todo el tráfico se
encripta con la misma llave. No hay llave de sesión.

En cambio con facebook tengo TLS_ECDHE_RSA_WITH_AES_128_GCM_SHA256. La
parte interesante es la ECDHE, esto define que se crea y usa una llave
de sesión. Por lo cual, si fuera facebook tendrías que snifear el
tráfico del handshake inicial para decifrar la llave de session
(usando la llave maestra del sitio) y poder posteriormente obtener el
tráfico. Si no tienes la llave de sesión, con la llave maestra no hace
nada porque el tráfico no fue encriptado con ella ;)

Lo lógico sería que todos usaran llaves de sesión, el problema es que
por allá por el 2011 apareció un exploit (BEAST) que afectaba
precisamente las llaves de sesión :(

En fin, banco general no fue afectado por esto y para que alguien
obtenga tu cuenta de twitter, facebook o gmail tienen que capturar el
handshake (los 3 implementan perfect forward secrecy).

Suerte con la charla ;)

-- 
Paco
http://www.linuxlatino.org/