Muchísimo talento y abundante información interesante se ha dado a conocer por los expertos en seguridad informática en la conferencia de Black Hat de Las Vegas la semana pasada, un tema en particular que llamó nuestra atención fue la vulnerabilidad BREACH presentada por Angelo Prado y Yoel Gluck, ambos Jefes de Seguridad en Salesforce.com, junto a Neal Harris, experto en criptografía actualmente desenvolviéndose como ingeniero de seguridad de aplicaciones en Square Inc.
Estos caballeros demostraron que podían extraer información de respuestas a solicitudes HTTP estando bajo protocolo SSL, siempre y cuando la aplicación que emite las respuestas cumpliera las siguientes condiciones:
- El servidor use compresión a nivel HTTP.
- En el cuerpo de las respuestas HTTP se refleje información introducida por el solicitante.
- En el cuerpo de las respuestas HTTP se reflejen claves secretas como tokens CSRF.
Así que si posees una aplicación web que cumpla con estas características es recomendable que tomes acciones correctivas rápidamente antes que sea demasiado tarde.
Cuando creíamos que poseer un certificado SSL y establecer un canal HTTPS de comunicación era el método más seguro para establecer un canal entre los usuarios y nuestra aplicación web, estos expertos han demostrado que todo aquello que sea desarrollados para proteger y esconder es posible descifrarlo, revelarlo y tomar provecho de ello.
Para el video, presentación, escrito y mayor información sobre el tema pueden dirigirse a la página oficial de BREACH, inclusive el código de una aplicación que determine si tu aplicación web es vulnerable estará disponible en poco tiempo en su portal.