Ree­va­luan­do la se­gu­ri­dad en SSL

IT Now Honduras - - SECURITY -

Ca­mi­lo Gutiérrez Ama­ya

Je­fe de La­bo­ra­to­rio de In­ves­ti­ga­ción de ESET La­ti­noa­mé­ri­ca

El pro­to­co­lo Se­cu­re Soc­kets La­yer (SSL), que lle­va más de vein­te años en In­ter­net, fue desa­rro­lla­do pa­ra pro­por­cio­nar un pro­to­co­lo se­gu­ro pa­ra el in­ter­cam­bio de da­tos en una co­mu­ni­ca­ción en­tre un ser­vi­dor y un clien­te. Es­te pro­to­co­lo sir­ve co­mo in­ter­me­dia­rio pa­ra es­ta­ble­cer una co­mu­ni­ca­ción se­gu­ra a tra­vés de cer­ti­fi­ca­dos, có­di­gos de au­ten­ti­ca­ción y al­go­rit­mos de ci­fra­do.

La elec­ción de un cer­ti­fi­ca­do de­pen­de de las ne­ce­si­da­des es­pe­cí­fi­cas de la or­ga­ni­za­ción, sin em­bar­go el usua­rio de­be ase­gu­rar­se que su cer­ti­fi­ca­ción cum­ple con las ca­rac­te­rís­ti­cas idó­neas ta­les co­mo sis­te­mas de va­li­da­ción, so­por­tar to­dos los na­ve­ga­do­res web y en­crip­ta­ción SSL má­xi­ma, re­emi­sión de su cer­ti­fi­ca­do SSL en ca­so de cam­biar su ser­vi- dor web y re­vo­ca­ción de su cer­ti­fi­ca­do SSL en ca­so de que es­te ha­ya de­ja­do de ser se­gu­ro, en­tre otras.

Es im­por­tan­te de­jar cla­ro que el he­cho de que un si­tio uti­li­ce pro­to­co­lo SSL, es de­cir que vea­mos https en su url, no es ga­ran­tía de que un si­tio web no sea ma­li­cio­so. La ex­pli­ca­ción de es­to ra­di­ca en la ma­ne­ra en que se im­ple­men­ta fi­nal­men­te es­ta co­mu­ni­ca­ción, es de­cir que, si el in­ter­cam­bio de in­for­ma­ción se ha­ce con cer­ti­fi­ca­dos fal­sos, un ata­can­te po­dría te­ner un si­tio de phis­hing que fal­si­fi­que la in­for­ma­ción de con­tac­to sin que la víc­ti­ma se per­ca­te del en­ga­ño.

Por otra par­te, la im­ple­men­ta­ción que se ha­ce del pro­to­co­lo también pue­de de­jar bre­chas de se­gu­ri­dad. Ade­más po­de­mos en­con­trar que los al­go­rit­mos uti­li­za­dos pa­ra fir­mar los cer­ti­fi­ca­dos se pue­den des­ci­frar e in­clu­so mu­chas ve­ces se uti­li­zan al­go­rit­mos de ci­fra­do dé­bi­les por lo cual, con un ata­que Ma­nin-the-Middle (Mi­tM) se po­dría rom­per el ci­fra­do y asu­mir la iden­ti­dad de la pá­gi­na web.

To­das es­tas fa­llas que mu­chas ve­ces se dan por la mis­ma im­ple­men­ta­ción del pro­to­co­lo, han da­do pie a que se desa­rro­llen he­rra­mien­tas al­ta­men­te efec­ti­vas que le per­mi­ti­rían a un ata­can­te rea­li­zar fá­cil­men­te ata­ques, co­mo SSLS­trip pa­ra en­ga­ñar a un usua­rio pa­ra que crea que es­tá vi­si­tan­do un si­tio se­gu­ro, cuan­do real­men­te es víc­ti­ma de un ata­que.

Ame­na­zas al pro­to­co­lo SSL

Al día de hoy son va­rias las ame­na­zas que se han en­con­tra­do y que afec­tan SSL. Des­de Heart­bleed has­ta Freak, pa­san­do por Pood­le o Wins­hock, he­mos vis­to nu­me­ro­sos ejem­plos don­de los da­tos de los usua­rios po­dían ser ro­ba­dos por un ata­can­te aun a pe­sar de ser trans­mi­ti­dos usan­do pro­to­co­los con­si­de­ra­dos co­mo se­gu­ros por bue­na par­te de los ser­vi­cios de In­ter­net. También en­con­tra­mos có­di­gos ma­li­cio­sos co­mo el tro­yano ban­ca­rio Dy­re­za que lo­gra sal­tear SSL.

Mi­grar de pro­to­co­lo o se­guir ex­pues­tos

De los di­ver­sos es­ce­na­rios po­si­bles pa­ra un ata­can­te que plan­tea­mos an­te­rior­men­te se­gu­ra­men­te que­de la sen­sa­ción que se ha­ce ne­ce­sa­rio to­mar me­di­das al res­pec­to del uso de SSL co­mo pro­to­co­lo de co­mu­ni­ca­ción se­gu­ro. La res­pues­ta apa­re­ce en el pro­to­co­lo su­ce­sor, TLS, que si bien no es 100% se­gu­ro sí brin­da unas me­di­das de se­gu­ri­dad más ro­bus­tas que SSL.

Lo im­por­tan­te es que to­dos aque­llos ad­mi­nis­tra­do­res de sis­te­mas que es­tén de­trás de la ges­tión de por­ta­les que in­ter­cam­bien in­for­ma­ción sen­si­ble y aún si­guen uti­li­zan­do al­gu­na de las ver­sio­nes de SSL to­men con­cien­cia de lo ex­pues­to que pue­den lle­gar a que­dar sus da­tos y lo ur­gen­te que se ha­ce mi­grar a al­ter­na­ti­vas que ga­ran­ti­cen ma­yo­res ni­ve­les de se­gu­ri­dad a sus usua­rios.

Ha­cer una ade­cua­da ges­tión de la se­gu­ri­dad y man­te­ner ac­tua­li­za­dos los sis­te­mas a tra­vés de los cua­les pa­san los da­tos con­fi­den­cia­les de la or­ga­ni­za­ción son la me­jor me­di­da que te­ne­mos pa­ra ga­ran­ti­zar la con­fi­den­cia­li­dad de la in­for­ma­ción.

A10 Net­works pre­sen­tó sus nue­vas so­lu­cio­nes de se­gu­ri­dad

La compañía hi­zo la pre­sen­ta­ción de las dis­tin­tas so­lu­cio­nes en la Cum­bre de Gart­ner IT In­fras­truc­tu­re, Ope­ra­tions & Da­ta Cen­ter Sum­mit. Es­tas son firewall Gi/ SGi de al­to ren­di­mien­to, firewall de Da­ta­cen­ter (DCFW), un Ga­te­way de Se­gu­ri­dad Web, VPN IPSec de si­tio a si­tio de al­to ren­di­mien­to y so­por­te del sis­te­ma de Ges­tión Cen­tra­li­za­do aGa­laxy pa­ra Thun­der CFW.

Cual­quier or­ga­ni­za­ción en cual­quier in dus­tria pu­die­ra ser un ob­je­ti­vo de ata­que pa­ra los delincuentes.

¡Cui­da­do cuan­do des­car­ga Po­ke­mon GO!

ESET des­cu­brió la pri­me­ra apli­ca­ción fal­sa de ti­po locks­creen en Goo­gle Play, lla­ma­da Po­ke­mon GO Ul­ti­ma­te. Co­mo su­gie­ren sus ca­rac­te­rís­ti­cas, blo­quea de­li­be­ra­da­men­te la pan­ta­lla del dis­po­si­ti­vo jus­to des­pués de ser ini­cia­da, for­zan­do al usua­rio a re­ini­ciar­lo.

Sy­man­tec com­pra Blue Coat y quie­re más en la ci­ber­se­gu­ri­dad

La compañía Sy­man­tec anun­ció la ad­qui­si­ción del pro­vee­dor de se­gu­ri­dad Blue Coat, Inc, con es­to la em­pre­sa ini­ció la eje­cu­ción de su es­tra­te­gia de in­te­gra­ción y ace­le­rar su compromiso pa­ra de­fi­nir el fu­tu­ro de la se­gu­ri­dad ci­ber­né­ti­ca según de­fi­nió el pre­si­den­te, Dan Schul­man.

Newspapers in Spanish

Newspapers from Honduras

© PressReader. All rights reserved.