Cu toate ca a fost prezentat deja la Blackhat DC in februarie anul asta, nu am auzit pina acum de tool-ul „SSLStrip” scris si prezentat de Moxie Marlinspike. Despre ce este vorba? Conceptul este simplu si genial in acelasi timp. Modul in care oamenii ajung sa acceseze linkurile de HTTPS este de obicei prin click-ul unor butone/linkuri din pagini normale HTTP, care apoi trimite informatia prin HTTPS serverului. Un exemplu este pagina http://www.raiffeisen.ro unde in pagina HTTP este introdusa username-ul si parola care sint apoi postate prin HTTPS catre https://www.raiffeisen.ro/ . A doua modalitate este scrierea numelui de domeniu (ex: paypal.com) in bara de URL a browserului. Acesta trimite o cerere prin HTTP serverului care la rindul lui genereaza un raspuns din parte serverului de genul 302. Redirectare catre pagina HTTPS.

Ce face SSLStrip. Se interpune intre user si server si in momentul in care userul incearca sa acceseze pagina HTTPS, el va face cererea in numele clientui catre server pe HTTPS, primeste raspunsul si il livreaza pe HTTP userului. Pentu a reusi sa pacaleasca userului soft-ul se foloseste si de un trick ingenios inlocuind „Favorit Icon” cu iconita de lacatel, dind impresia de conexiune securizata. Interesante sint si rezultatele pe care le-a obtinut in urma rularii soft-ului in unul din nodurile de iesire a retelei TOR. Numarul de parole, sau carduri de credit este destul de mare. Ma astept deci ca numarul de astfel de atacuri folosind reteaua TOR sau retele Wireless sa creasca.

Ce poate ajuta impotriva unui astfel de atac ? Phising  filter-ul de la IE  activat sau in Firefox 3 (about:config) browser.identity.ssl_domain_display este setat 1 ?Da ,atit timp cit userul chiar va face click pe iconita pentru a verifica ca acela nu este un Fake „Favotite Icon” ci ca este chiar modalitatea browser-ului de a indica ca este un certificat SSL.

Prezentarea si tool-ul pot fi gasite aici.

Have Fun.

Anunțuri