Los clientes de correo electrónico y otro software utilizan ssl. Pero, ¿y si alguien está haciendo un mitm con sslstrip? ¿Cómo puedo saber?
Los clientes de correo electrónico y otro software utilizan ssl. Pero, ¿y si alguien está haciendo un mitm con sslstrip? ¿Cómo puedo saber?
sslstrip funciona cambiando todos los enlaces https a http . Está restringido a HTTP, pero las herramientas para otros protocolos pueden existir o al menos son fáciles de hacer. Este tipo de herramientas no rompen la conexión TLS, sino que hacen que se reduzca la calificación a una conexión no cifrada no segura.
Qué tan bueno puede funcionar este tipo de herramientas depende mucho de la aplicación y de los protocolos utilizados. Con IMAP, POP3, SMTP, FTP y probablemente otros, hay dos formas de usar TLS:
STARTTLS o similar ( STLS con POP3, AUTH TLS con FTP). Si hay un hombre en el medio (s), puede modificar la comunicación para que el cliente asuma que TLS no es posible. Entonces, el comportamiento depende del cliente y, a veces, de su configuración: algunos clientes usarán silenciosamente la conexión de texto sin formato, mientras que otros arrojarán un error porque esperaban usar una conexión cifrada. E incluso si esto está fuera de su pregunta original: si no es posible una bajada a una comunicación sin cifrar, el atacante podría intentar usar herramientas como sslsplit para realizar un ataque de hombre en el medio contra el propio TLS. Todavía hay muchas aplicaciones vulnerables contra este tipo de ataque (consulte VU # 582497 ) porque no pueden valide los certificados TLS en absoluto u omita partes críticas de la validación, como verificar el nombre del host. Por lo tanto, en muchos casos es posible un ataque TLS man-in-the-middle sin que el usuario lo detecte.