it-swarm-es.com

¿Opciones al defender contra SSLstrip?

Me pregunto, ¿alguien tiene alguna sugerencia para defenderse contra SSLstrip en particular?

22
Skizit

Aquí están mis recomendaciones sobre lo que los usuarios pueden defenderse contra SSLstrip, Firesheep y ataques similares:

  • Instalar HTTPS en todas partes o ForceTLS. (HTTPS Everywhere es más fácil de usar). Esto le dice a su navegador que use las versiones SSL de los sitios web, siempre que sea posible.

  • Si el navegador le da una advertencia de certificado, no omita la advertencia y no continúe navegando en ese sitio web.

  • Para sitios críticos, como la banca en línea, vaya a la versión HTTPS (SSL) del sitio desde su máquina mientras usa una red segura, y luego marque esa página. Luego, siempre abra el sitio abriendo el marcador cada vez que quiera ir a esa página. Nunca escriba su dirección en la barra de direcciones o en la barra de búsqueda.

  • Si solo va a navegar en un solo sitio, considere configurar un navegador específico para el sitio. Probablemente esto no sea necesario para la mayoría de los propósitos, pero proporcionará seguridad adicional contra algunos ataques; podría ser apropiado, por ejemplo, para empresas que utilizan la banca en línea.

  • Alternativamente, en lugar de HTTPS Everywhere, puede hacer su navegación web a través de un servicio VPN.

  • Configure su cliente de correo electrónico para usar SSL (también conocido como TLS) y para verificar la validez de los certificados. Esto asegurará que la conexión al servidor de correo electrónico esté encriptada.

Estas son mis recomendaciones sobre lo que los sitios web pueden hacer para proteger a sus usuarios contra Firesheep, SSLstrip y ataques similares:

  • Habilite SSL en todo el sitio (es decir, HTTPS).

  • Habilite HSTS (Seguridad de transporte estricta de HTTP).

  • Asegúrese de que su certificado sea válido. Considere comprar un certificado de Validación Extendida (EV), para sitios más críticos de seguridad.

  • Habilite las cookies seguras, es decir, asegúrese de que todas las cookies se sirvan con el atributo seguro, de modo que los navegadores de sus usuarios solo envíen esas cookies a través de conexiones protegidas por SSL y nunca las revelen a través de un enlace que no sea SSL (HTTP).

  • Deshabilite el acceso HTTP (no SSL) o redirija a los usuarios a la versión SSL del sitio web.

  • Evite o minimice el uso de bibliotecas de Javascript de terceros, widgets, botones similares, etc. O, si debe usarlos, asegúrese de que sean atendidos desde un https: URL y que el sitio que los aloja es uno en el que confía.

En un tema diferente, los administradores de servidores de correo pueden proteger a sus usuarios habilitando la protección SSL/TLS para IMAP (o, mejor aún, exigiendo el uso de SSL/TLS en todas las conexiones) y habilitando STARTTLS en sus servidores SMTP.

18
D.W.

Usando la regla Privoxy:

echo '{ +redirect{[email protected]://@https://@} }
.foo.org' >> /etc/privoxy/user.action

lo redireccionará a HTTPS si un sitio está en la lista blanca. En el ejemplo, www.foo.org y foo.org y subdominio.foo.org solo pueden usar HTTPS porque el proxy lo redirige. Si hay un SSLStrip mitm, la página simplemente se cargará, cargará y cargará ... no será accesible. Creo que esta sería una muy buena solución (solución).

1
LanceBaynes