La página de inicio de mi banco está en http. No SSL. ¿No es trivialmente fácil cambiar enlaces MITM + y obtener credenciales de inicio de sesión?

En los sitios web que experimentan grandes cantidades de tráfico (por ejemplo, sitios de consumidores, como bancos), los administradores han decidido utilizar implementaciones mixtas de HTTP y HTTPS de texto plano. Por lo general, HTTP se usa para información pública, y el cambio a HTTPS ocurre cuando se accede a recursos privados como una pantalla de inicio de sesión.

Esta práctica provino en gran parte de los días en que el cifrado / descifrado SSL (ahora TLS) era más costoso (desde la década de 1990 y principios de la década de 2000) desde la perspectiva de la CPU, y podía ralentizar considerablemente los tiempos de carga de la página.

Ahora, con CPU más rápidas, más adeptos al uso de algoritmos hash como SHA256 y cifrados como AES, este problema es menos obvio. Sin embargo, si está ejecutando un servidor web a gran escala que recibe miles de visitas por minuto, el administrador seguramente notará tráfico TLS frente a tráfico no TLS en términos de CPU utilizada. El sitio de texto simple requerirá menos gastos de mantenimiento de CPU y de TI y, a su vez, supondrá un ahorro para la organización en términos de gastos de alojamiento. Además, como se señaló en un comentario de @mgjk, los costos de la gestión de certificados entre los departamentos de TI del banco (negocios frente a personal, comercio frente a otro comercio, WAF y DDoS que necesitan poder realizar descifrado SSL, etc.) también son significativos y engorroso en una organización grande, y puede llevar a una renuencia por parte de la administración a implementar un sitio solo para TLS.

Por lo tanto, muchos bancos continúan aprovechando los sitios web mixtos HTTP y HTTPS. Se están desarrollando nuevas mejores prácticas para controlar los problemas y los vectores de ataque presentes en esta configuración, especialmente los ataques MiTM del estilo "SSLStrip". Las medidas de control incluyen el uso de encabezados HSTS, y están avanzando hacia los bancos, pero aún tienen que lograr una implementación comercial a gran escala de estas grandes entidades, generalmente adversas al riesgo y al cambio.

En lo que respecta a la situación específica que describe con WiFi Pineapple como Evil AP, esto sería posible si organiza un ataque "SSLStrip" u otro ataque de hombre en el medio.

Sin embargo, muchos bancos toman medidas para protegerse contra los ataques de secuestro de sesión, especialmente la expiración de la sesión rápidamente. Si el dispositivo visitó el sitio antes y envió encabezados HSTS, seguramente se produciría un error (tal vez suficiente para asustar al usuario promedio). Por lo tanto, el escenario de ataque que describe es un poco simplista y requeriría un poco más de sofisticación antes de ser viable frente a las implementaciones modernas de sitios web bancarios.

Sin embargo, sí, cuando los bancos no fuerzan el uso de TLS con HSTS y la fijación de certificados, se abre un gran vector de ataque similar a lo que usted describe, ¡y esta práctica debería eliminarse gradualmente!

Aunque considero que la mayor parte de la respuesta de Herringbone Cat es muy engañosa, él / ella tiene razón al decir que la situación que usted describe está lejos de ser la ideal. Pero hay pasos que un proveedor de sitios puede tomar para mitigar el ataque de otras maneras.

SSLStripping ha sido un conocido método de ataque desde 2009 . La solución más efectiva hasta la fecha es HSTS donde un navegador capaz recordará (o se le dirá) qué sitios usan HTTPS exclusivamente. Sin embargo:

• esto está relacionado con el nombre de dominio: no puede mezclar HTTP y HTTPS en el mismo nombre de dominio
• es solo muy recientemente que MSIE (Edge 11) ha implementado el soporte HSTS (mucho tiempo después de Chrome, Firefox y Opera)

Hay otras soluciones basadas en detectar el tipo de conexión en el navegador en tiempo de ejecución usando el servidor lógica suministrada, pero la limitación obvia es que esta lógica es más susceptible de manipulación.

También hay otros métodos más sutiles para detectar fraudes que pueden implementarse en el servidor y son aplicables a otros tipos de ataques; sesiones divididas, patrones de navegación inusuales, detección de bots, patrones de transacciones ... El secreto de tales métodos es bastante importante para su eficacia, por lo que los bancos no publicarán información sobre qué son estos controles.

Pero no sabemos si los sitios en cuestión están usando tales protecciones.

Otro punto a tener en cuenta, es que el ataque no tiene que iniciarse en el sitio web del banco en sí (ni está restringido el ataque a los sitios web de bancos) sino en cualquier página web que tenga enlaces al sitio que desea eliminar. El sitio bing.com de Microsoft todavía se sirve a través de HTTP de forma predeterminada. En mi humilde opinión, esto es un incumplimiento de su deber de cuidado hacia sus clientes.

Sin embargo, incluso ante la ausencia de protección, para que su ataque tenga éxito, deberá estar MITM en un dispositivo al mismo tiempo que el usuario inicia sesión en su banco. Sospecho que un centro comercial no daría un rendimiento particularmente bueno.

Entonces, sí, puede ser así de fácil.