Ree­va­luan­do la se­gu­ri­dad en SSL

IT Now Guatemala - - SECURITY - Ca­mi­lo Gu­tié­rrez Ama­ya Je­fe de La­bo­ra­to­rio de In­ves­ti­ga­ción de ESET La­ti­noa­mé­ri­ca

El pro­to­co­lo Se­cu­re Soc­kets La­yer (SSL), que lle­va más de vein­te años en In­ter­net, fue desa­rro­lla­do pa­ra pro­por­cio­nar un pro­to­co­lo se­gu­ro pa­ra el in­ter­cam­bio de da­tos en una co­mu­ni­ca­ción en­tre un ser­vi­dor y un clien­te. Es­te pro­to­co­lo sir­ve co­mo in­ter­me­dia­rio pa­ra es­ta­ble­cer una co­mu­ni­ca­ción se­gu­ra a tra­vés de cer­ti­fi­ca­dos, có­di­gos de au­ten­ti­ca­ción y al­go­rit­mos de ci­fra­do.

La elec­ción de un cer­ti­fi­ca­do de­pen­de de las ne­ce­si­da­des es­pe­cí­fi­cas de la or­ga­ni­za­ción, sin em­bar­go el usua­rio de­be ase­gu­rar­se que su cer­ti­fi­ca­ción cum­ple con las ca­rac­te­rís­ti­cas idó­neas ta­les co­mo sis­te­mas de va­li­da­ción, so­por­tar to­dos los na­ve­ga­do­res web y en­crip­ta­ción SSL má­xi­ma, re­emi­sión de su cer­ti­fi­ca­do SSL en ca­so de cam­biar su ser­vi- dor web y re­vo­ca­ción de su cer­ti­fi­ca­do SSL en ca­so de que es­te ha­ya de­ja­do de ser se­gu­ro, en­tre otras.

Es im­por­tan­te de­jar cla­ro que el he­cho de que un si­tio uti­li­ce pro­to­co­lo SSL, es de­cir que vea­mos https en su url, no es ga­ran­tía de que un si­tio web no sea ma­li­cio­so. La ex­pli­ca­ción de es­to ra­di­ca en la ma­ne­ra en que se im­ple­men­ta fi­nal­men­te es­ta co­mu­ni­ca­ción, es de­cir que, si el in­ter­cam­bio de in­for­ma­ción se ha­ce con cer­ti­fi­ca­dos fal­sos, un ata­can­te po­dría te­ner un si­tio de phis­hing que fal­si­fi­que la in­for­ma­ción de con­tac­to sin que la víc­ti­ma se per­ca­te del en­ga­ño.

Por otra par­te, la im­ple­men­ta­ción que se ha­ce del pro­to­co­lo tam­bién pue­de de­jar bre­chas de se­gu­ri­dad. Ade­más po­de­mos en­con­trar que los al­go­rit­mos uti­li­za­dos pa­ra fir­mar los cer­ti­fi­ca­dos se pue­den des­ci­frar e in­clu­so mu­chas ve­ces se uti­li­zan al­go­rit­mos de ci­fra­do dé­bi­les por lo cual, con un ata­que Ma­nin-the-midd­le (Mi­tm) se po­dría rom­per el ci­fra­do y asu­mir la iden­ti­dad de la pá­gi­na web.

To­das es­tas fa­llas que mu­chas ve­ces se dan por la mis­ma im­ple­men­ta­ción del pro­to­co­lo, han da­do pie a que se desa­rro­llen he­rra­mien­tas al­ta­men­te efec­ti­vas que le per­mi­ti­rían a un ata­can­te rea­li­zar fá­cil­men­te ata­ques, co­mo Ssls­trip pa­ra en­ga­ñar a un usua­rio pa­ra que crea que es­tá vi­si­tan­do un si­tio se­gu­ro, cuan­do real­men­te es víc­ti­ma de un ata­que.

Ame­na­zas al pro­to­co­lo SSL

Al día de hoy son va­rias las ame­na­zas que se han en­con­tra­do y que afec­tan SSL. Des­de Heart­bleed has­ta Freak, pa­san­do por Pood­le o Wins­hock, he­mos vis­to nu­me­ro­sos ejem­plos don­de los da­tos de los usua­rios po­dían ser ro­ba­dos por un ata­can­te aun a pe­sar de ser trans­mi­ti­dos usan­do pro­to­co­los con­si­de­ra­dos co­mo se­gu­ros por bue­na par­te de los ser­vi­cios de In­ter­net. Tam­bién en­con­tra­mos có­di­gos ma­li­cio­sos co­mo el tro­yano ban­ca­rio Dy­re­za que lo­gra sal­tear SSL.

Cual­quier or­ga­ni­za­ción en cual­quier in­dus­tria pu­die­ra ser un ob­je­ti­vo de ata­que pa­ra los de­lin­cuen­tes.

Mi­grar de pro­to­co­lo o se­guir ex­pues­tos

De los di­ver­sos es­ce­na­rios po­si­bles pa­ra un ata­can­te que plan­tea­mos an­te­rior­men­te se­gu­ra­men­te que­de la sen­sa­ción que se ha­ce ne­ce­sa­rio to­mar me­di­das al res­pec­to del uso de SSL co­mo pro­to­co­lo de co­mu­ni­ca­ción se­gu­ro. La res­pues­ta apa­re­ce en el pro­to­co­lo su­ce­sor, TLS, que si bien no es 100% se­gu­ro sí brin­da unas me­di­das de se­gu­ri­dad más ro­bus­tas que SSL.

Lo im­por­tan­te es que to­dos aque­llos ad­mi­nis­tra­do­res de sis­te­mas que es­tén de­trás de la ges­tión de por­ta­les que in­ter­cam­bien in­for­ma­ción sen­si­ble y aún si­guen uti­li­zan­do al­gu­na de las ver­sio­nes de SSL to­men con­cien­cia de lo ex­pues­to que pue­den lle­gar a que­dar sus da­tos y lo ur­gen­te que se ha­ce mi­grar a al­ter­na­ti­vas que ga­ran­ti­cen ma­yo­res ni­ve­les de se­gu­ri­dad a sus usua­rios.

Ha­cer una ade­cua­da ges­tión de la se­gu­ri­dad y man­te­ner ac­tua­li­za­dos los sis­te­mas a tra­vés de los cua­les pa­san los da­tos con­fi­den­cia­les de la or­ga­ni­za­ción son la me­jor me­di­da que te­ne­mos pa­ra ga­ran­ti­zar la con­fi­den­cia­li­dad de la in­for­ma­ción.

Newspapers in Spanish

Newspapers from Guatemala

© PressReader. All rights reserved.