Post39 nn

PinPatrol add-on forense para conexiones seguras con HSTS y HPKP


Z43vi97d 400x400
José Alejandro Gago

PinPatrol

Es un add-on para mejorar la experiencia de uso con HSTS y HPKP en Firefox y Chrome. Muestra esta información en formato legible siendo sencillo de usar y proporciona información útil sobre los datos relativos a HSTS y HPKP que almacena el navegador.

¿Cómo funciona HSTS y HPKP?

Para visitar ciertas páginas web, especialmente aquellas que contienen una gran cantidad de datos personales, es de vital importancia hacerlo a través de protocolos seguros, por ejemplo, HTTPS. Sin embargo, este protocolo ha demostrado ya en varias ocasiones que por sí solo no ofrece una seguridad demasiado alta y que mediante nuevas técnicas como HEIST, es muy fácil de romper su seguridad y acceder a los datos de los usuarios. Por ello, los servidores que quieran ofrecer una seguridad aún más extrema deben hacer uso de otros protocolos como HSTS y HPKP que junto a HTTPS, nos brindan, a día de hoy, la seguridad que merecemos.

El protocolo HSTS, “HTTP Strict Transport Security”, es un sistema de seguridad adicional para las conexiones HTTPS mediante el cual un servidor web declara comunicarse con el navegador solo a través de conexiones seguras, bloqueando todo intento de conexiones inseguras generadas, por ejemplo, en un ataque MITM. Complementándolo, el protocolo HPKP ha sido diseñado para bloquear los ataques de suplantación obligando al uso de certificados seguros que han sido proporcionados por el servidor durante la primera conexión a el, bloqueando todos los demás que pueden haber sido comprometidos o ser falsos.

Los navegadores web no nos dejan consultar esta información libremente ya que carecen de las herramientas necesarias para ello, sin embargo, es posible que sí necesitemos, o queramos, hacerlo, ya que nos puede ayudar a saber si nuestras conexiones están siendo seguras o, por el contrario, pueden ser comprometidas por las nuevas debilidades que se han descubierto recientemente en las conexiones HTTPS.



Funcionalidad

La información proporcionada en la tabla es la almacenada por el navegador y “traducida” a un formato legible.

  • Domain: Dominio protegido bajo HSTS o HPKP.

  • Score: Se trata de un valor interno de Firefox. Incrementa en uno cada día diferente (siempre que hayan pasado 24 horas) que se visita un dominio.

  • Date: El ultimo día que fue visitado un dominio. Se calcula por Firefox utilizando el número de días que han pasado desde el 01/01/70.

  • Expiration Date: Se trata del max-age de HSTS o HPKP, en otras palabras, cuándo caducará la entrada.

  • SecurityProperty: Es un valor interno de Firefox. SecurityPropertyUnset si 0, SecurityPropertySet si 1 o SecurityPropertyKnockout si vale 2.

  • IncludeSubdomains: Indica si HSTS o HPKP incluye la directiva de subdominios y todos quedan protegidos.

  • HPKP Pins: Lista de pines en la cabecera HPKP.


Firefox PinPatrol VS Chrome PinPatrol


  • Principalmente Chrome no permite que las extensiones abran ficheros en el perfil del usuario, así que para analizar es necesario hacer drag and drop de TransportSecurity desde las siguientes rutas:


Windows: %localappdata%\Google\Chrome\User Data\Default

Mac OS X: ~/Library/Application Support/Google/Chrome/Default

Linux: ~/.config/google-chrome/Default

Convirtiendo el add-on en una pequeña herramienta forense para recopilación de datos.




  • Chrome almacena la información en un fichero Json.

  • En vez de almacenar el dominio en texto claro, calcula un hash con un formato estándar, para ofrecer cierta "privacidad" a los usuarios.



  • Utiliza report_uri para el protocolo HPKP (Firefox todavía no lo soporta).

  • Otra funcionalidad interesante que se añadió es la posibilidad de "deshashear" los dominios. Si un dominio se encuentra en el repositorio de HSTS y HPKP, significa que se ha visitado. Así que debería estar en el historial del navegador. Lo que la herramienta hace es tomar los dominios del histórico visitados y calcular su hash. Si ese hash coincide con alguno de los hashes en la lista de HSTS y HPKP, se "traduce" para que quede "des-hasheado".



Para concluir …

Actualmente los browsers no cuentan con funcionalidades que nos permitan consultar el estado de estas conexiones en formato sencillo y legible con la ayuda de PinPatrol de 11Paths podemos consultar el estado de estos protocolos en las conexiones de nuestro browser para saber si estas son seguras o pueden estar siendo comprometidas.

Para obtener este add-on puedes agregarlo en:

Firefox: https://addons.mozilla.org/es/firefox/addon/pinpatrol/

Chrome: https://chrome.google.com/webstore/detail/pinpatrol/jenmooahjheolakpacikdlloalfaihef/




Artículos que te pueden interesar


Ehtools Framework (Entynet Hacker Tools) es un conjunto de herramientas de penetración para redes WiFi desarrollado por entynetproject. Se puede... Erik Garcia


Continuar Leyendo

Los cibercriminales continúan explotando el miedo en el brote de coronavirus para propagar malware y robar datos confidenciales de las víctimas.... Paola Mc Guire Cancino


Continuar Leyendo

Shutterstock 179770802

Artículos

Evil Limiter

Si se encuentra con un compañero de cuarto que acapara el ancho de banda de datos limitado con videojuegos o descubre que un vecino se ha invita... Erik Garcia


Continuar Leyendo