Etiqueta: https

Claves para conservar la seguridad durante las fiestas

Las vacaciones es el tiempo favorito de los empleados y hackers, por ello le compartimos algunos consejos de seguridad que lo ayudar√°n a protegerse.

Para evitar que su empresa se convierta en la víctima en estas fechas decembrinas, hemos reunido consejos de unos cuantos profesionales de seguridad para que los administradores de TI protejan los datos corporativos y recomendaciones para acortar los ciclos de prueba de los sistemas de seguridad.

Usar las vacaciones para realizar revisiones de programas y auditor√≠as. En todas las organizaciones es muy probable que uno o dos empleados desempe√Īen funciones cr√≠ticas de seguridad. Es necesaria una verificaci√≥n peri√≥dica de los procedimientos para evitar incidentes o interrupciones de seguridad inesperados pero evitables.

En primer lugar, se deben revisar los procedimientos y procesos, ¬Ņexisten procesos documentados que coincidan con las responsabilidades cotidianas de todos los miembros del equipo? ¬Ņest√°n basados en las mejores pr√°cticas? Por √ļltimo, ¬Ņest√°n f√°cilmente disponibles y/o f√°ciles de encontrar?

Utilice este tiempo para analizar cr√≠ticamente la madurez del equipo, desarrollar una hoja de ruta estrat√©gica para el A√Īo Nuevo y cerrar brechas cr√≠ticas que normalmente pasan desapercibidas.

Utilice las vacaciones para probar su respuesta a incidentes y planes de recuperación de desastres

La clave de un programa de seguridad es tener una base sólida. Tener planes bien documentados de respuesta a incidentes es una necesidad crítica. Tener un juego de carpetas en una estantería no es suficiente. No sólo deben probarse los planes de respuesta a incidentes y los equipos que realizan esas tareas con frecuencia, sino que deben someterse a pruebas de estrés. Qué mejor momento para realizar las pruebas que durante un periodo de vacaciones.

Realizar una prueba de recuperación de desastres durante las vacaciones revelará las lagunas en los planes, la dotación de personal e identificará las áreas críticas para mejorar. Por no mencionar, en tiempos reales de interrupción o desastre, es poco probable que cada miembro de cada equipo esté disponible. Podrá detectar cómo los puntos fuertes y débiles de sus planes.

Realizar un ‚Äúbarrido‚ÄĚ

En ocasiones se han encontrado dispositivos WiFi maliciosos en salas de conferencias pegadas debajo de los escritorios o disimuladas en la pared. Los criminales utilizar√°n estos dispositivos para analizar el tr√°fico de la red, crear falsas redes Wifi y acoplarse con c√°maras para crear los dispositivos de espionaje perfectos. Mientras todo el mundo est√° fuera de la oficina, es un buen momento para hacer un barrido de conexiones de red inal√°mbrica desconocidas y buscar dispositivos sospechosos conectados.

No mezclar trabajo con ocio

Las fiestas son un buen momento para crear conciencia. Recuerde a los empleados que los dispositivos de la empresa deben utilizarse √ļnicamente para trabajar.

Crear y colocar ‚Äútrampas‚ÄĚ

Cuando todo el mundo está de vacaciones es más fácil pillar a los delincuentes. Para los profesionales de la seguridad que sospechan que puede haber comportamientos maliciosos en el entorno físico, crear una trampa puede ser una manera de atrapar a los criminales en el acto. Se trataría de poner lo que parece datos importantes en un sistema, simplemente monitorear esa máquina y esperar a ver si se accede. Coloque un PC desbloqueado en un área abierta con videovigilancia, instale el software de monitorización en ella, vea si se tocan algunos archivos o si los usuarios hacen lo correcto e informan de ello.

E-Business Compromiso de correo electrónico (BEC)

Las empresas deben estar en alerta m√°xima ante las amenazas de Business Email Compromise (BEC) y Business Email Spoofing (BES) -el FBI asegura que esto tiene un alt√≠simo costo para las organizaciones. Como se muestra en la √ļltima investigaci√≥n de la Unidad 42 de Redes de Palo Alto, “SilverTerrier: La Pr√≥xima Evoluci√≥n en el Delito Cibern√©tico Nigeriano”, los protagonistas de la amenaza nigeriana est√°n cada vez m√°s organizados y han asumido BEC y BES con sofisticaci√≥n sin precedentes en todo el mundo. La mayor√≠a de los ataques con √©xito usan vulnerabilidades conocidas y reemplazadas, por lo que aseg√ļrese de que los sistemas y los dispositivos est√©n actualizados, muy por delante de los “bloqueos” de los sistemas empresariales de los trimestres o finales de a√Īo.

Recuerde, usted es un objetivo durante la temporada de vacaciones

Usted es un objetivo durante todo el a√Īo, pero inevitablemente durante esta √©poca del a√Īo, se producen m√°s robos de port√°tiles y dispositivos. Mantenga los objetos de valor fuera de la vista, o mejor a√ļn, fuera de su veh√≠culo. Aseg√ļrese de que los datos est√©n encriptados o trabaje con su personal de tecnolog√≠a para verificar si no est√° seguro. Aseg√ļrese de que las copias de seguridad de los datos corporativos tomados en discos duros externos se almacenan fuera para su custodia.

Preste especial atención a reparar sistemas operativos dentro de dispositivos especializados conectados a su red

¬ŅRecuerda el episodio del Mr. Robot, donde Elliot planea destruir la instalaci√≥n de Steel Mountain al entrar en su sistema de control clim√°tico? Un sistema de seguridad de software es tan seguro como su componente m√°s d√©bil, y muchas veces, dispositivos especializados como termostatos, consolas de planificador de salas de conferencias, incluso sistemas de videoconferencia pueden pasar por alto cuando se trata de parches. La clave aqu√≠ es no s√≥lo actualizar los principales sistemas operativos como Windows, OSX y Linux cuando los parches est√°n disponibles, pero aseg√ļrese de que los sistemas operativos m√°s peque√Īos dentro de los dispositivos especializados no se pasan por alto.

Los hackers pueden ir de compras online en vacaciones

De acuerdo con la National Retail Foundation, 2016 ventas de vacaciones en línea se prevé que aumenten entre 7 y 10% (más del doble de la previsión de aumento del 3.6% para las compras de vacaciones en general).

Recomendamos que los empleados vayan directamente al sitio web de un proveedor en lugar de hacer clic en el bot√≥n ‚ÄėComprar ahora‚Äô en un mensaje de correo electr√≥nico promocional. Por ejemplo, un delincuente puede crear f√°cilmente un mensaje de correo promocional falso de Best Buy o Amazon para atraer clics directos para comprar art√≠culos con un descuento especial. Podr√≠a ser v√≠ctima de un ataque cibern√©tico de phishing infectando por un equipo de c√≥mputo con ransomware o exploits.

Proteja los datos

El ataque ransomware es muy r√°pido. Incluso si los sistemas de seguridad avisan r√°pido, las vacaciones ofrecer√°n a los delincuentes una ocasi√≥n excelente. El ataque a Sony Pictures se destap√≥ el 24 de noviembre, el lunes antes del D√≠a de Acci√≥n de Gracias en Estados Unidos. Con la gente de vacaciones, no hab√≠a nadie para tomar medidas ante las se√Īales de alerta.

Un sólido mecanismo de copia de seguridad y recuperación es un excelente seguro contra ransomware. Es conveniente tener diversos tipos de copias de seguridad.

Implementar siempre SSL

Pre-cargar HSTS y establecer el sitio web de su organizaci√≥n HTTPS es f√°cil, y puede ayudar a prevenir ataques de Firesheep o Poodle. Para los sitios de comercio electr√≥nico, estas medidas mantendr√°n a los clientes m√°s seguros durante las compras navide√Īas. Se debe actualizar al mejor protocolo de seguridad posible (TLS 1.2) ya que es la versi√≥n m√°s segura disponible.

No descuide las herramientas de DevOps

No s√≥lo el sistema operativo y las aplicaciones necesitan parches en una organizaci√≥n. Comience el A√Īo Nuevo con cada herramienta de desarrollo y eliminaci√≥n de errores actualizada a la √ļltima versi√≥n tambi√©n.

Ryan Francis

 

Hacker demuestra que es f√°cil atacar la red WiFi de una ciudad

Amihai Neiderman, es el jefe de investigación de la firma israelí de seguridad cibernética Equus Technologies, quiso encontrar una manera de comprometer esta red, lo realizó como un proyecto paralelo en su tiempo libre.

En un ejemplo perfecto de c√≥mo las redes inal√°mbricas p√ļblicas pueden ser peligrosas para la privacidad y la seguridad, un hacker israel√≠ demostr√≥ que podr√≠a haber tomado el control de la red Wi-Fi gratuita de una ciudad entera.

El ejecutivo de la firma, vio en su camino de regreso del trabajo un punto de acceso inal√°mbrico que no hab√≠a visto antes. Result√≥ que el hotspot que vio, anunciado como “FREE_TLV”, formaba parte de la red Wi-Fi de toda la ciudad creada por la administraci√≥n local de Tel Aviv, Israel. Esto hizo que Neiderman se preguntara: ¬ŅQu√© tan seguro es?.

Durante las pr√≥ximas semanas, encontrar una manera de comprometer esta red y se enfoc√≥ en realizar el ataque de investigaci√≥n en su tiempo libre. Primero conect√≥ con la red a trav√©s de uno de los puntos de acceso repartidos por la ciudad y comprob√≥ cu√°l era su nueva direcci√≥n IP. Esta es normalmente la direcci√≥n p√ļblica asignada al enrutador a trav√©s de la cual todos los clientes Wi-Fi acceden a Internet.

A continuación, desconectó y exploró esa dirección IP para los puertos abiertos. Encontró que el dispositivo estaba sirviendo una interfaz de conexión basada en web sobre el puerto 443 (HTTPS). Esta interfaz muestra el nombre del fabricante РPeplink Рpero no otra información sobre el tipo o modelo del dispositivo. Se dio cuenta de que era necesario un análisis más profundo del firmware real del dispositivo. Identificar el dispositivo y encontrar el firmware exacto para descargar desde el sitio web del fabricante no fue fácil, porque Peplink crea y vende muchos tipos de dispositivos de red para diversas industrias.

Una vez que todo fue desempaquetado y cargado en un emulador, Neiderman pudo acceder a los scripts CGI (Common Gateway Interface) que formaban la interfaz web del enrutador. No tard√≥ mucho tiempo hasta que el investigador encontr√≥ una vulnerabilidad de desbordamiento de b√ļfer en el script CGI que manejaba el proceso de cierre de sesi√≥n. El defecto se podr√≠a explotar enviando una cookie de sesi√≥n muy larga al script y eso provocar√≠a una explotaci√≥n exitosa que resultar√≠a de la ejecuci√≥n de c√≥digo arbitrario y el control total sobre el dispositivo.

Neiderman present√≥ sus descubrimientos y esfuerzos de ingenier√≠a inversa el jueves en la conferencia de seguridad de DefCamp en Bucarest, Rumania. El investigador neg√≥ decir si realmente prob√≥ su haza√Īa en los enrutadores Peplink ya que eso podr√≠a darle un l√≠o en problemas legales.

Finalmente, el hacker dijo que se impresionó bastante con la manera en la que la empresa había respondido ante su informe y cómo se encargaron de la vulnerabilidad.

Redacción

Las redes WiFi p√ļblicas son un gran peligro

En la actualidad los sistemas de comunicación han ganado un enorme protagonismo con la difusión de nuevos estándares como el 802.11 ac,  que son capaces de llegar a ofrecer al usuario velocidades superiores a las de las conexiones por cable.

Como en toda tecnología que crece a pasos agigantados, existe un riesgo alto en la seguridad con la que los usuarios acceden a sus datos. Numerosos sistemas detectan la presencia de la tarjeta radio de nuestro móvil (sin haberse asociado a un AP) para extraer información sobre nuestra localización, por lo que no es necesario conectarse a un Wi-Fi para dar cierta información.

En este caso, la informaci√≥n siempre tiene un car√°cter ‚Äúan√≥nimo‚ÄĚ, ya que lo √ļnico que se puede tener visibilidad es de equipos con unas determinadas caracter√≠sticas (direcci√≥n MAC, etc.) que han entrado en el rango de acci√≥n del sistema Wi-Fi. As√≠, por ejemplo, la informaci√≥n que las empresas del segmento de retail consiguen es del tipo ‚Äú¬ŅCu√°ntos usuarios nuevos han visitado una tienda?‚ÄĚ o ‚Äú¬ŅEn frente de qu√© muestra se han parado?‚ÄĚ, ‚Äú¬ŅCu√°nto tiempo?‚ÄĚ, etc.

Por ello suele ocurrir el principal problema, el cu√°l no se encuentra en las medidas de seguridad de la tecnolog√≠a Wi-Fi sino en la propia conciencia del usuario, pues ¬Ņqu√© ocurre cuando nos conectamos a una red Wi-Fi?

El procedimiento t√©cnico toma el nombre de ‚Äúasociaci√≥n‚ÄĚ entre nuestro dispositivo (estaci√≥n) y el AP. A partir de este proceso, todo tr√°fico que generemos pasa a trav√©s del punto de acceso que radia el SSID al que nos hemos conectado. Seg√ļn el escenario en el que nos encontremos, la privacidad puede quedar altamente comprometida.

Muchos ciberdelincuentes juegan con ingenier√≠a social y despliegan una red Wi-Fi abierta en determinados sitios p√ļblicos. Por ejemplo, en un aeropuerto o una estaci√≥n de tren. Es perfectamente l√≠cito que empresas doten de infraestructura Wi-Fi gratuita en este tipo de espacios donde la gente se encuentra ante largos periodos de espera, por lo que es posible levantar una red WiFi con el nombre que usted quiera. Se trata, sin duda, del escenario perfecto para que los usuarios menos conscientes de los peligros de estas pr√°cticas se conecten a una red Wi-Fi con nombres tales que ‚ÄúFree_WiFi‚ÄĚ o ‚ÄúGuest_Hotspot‚ÄĚ, entre otros

A partir del momento en el que se realiza dicha asociaci√≥n, todo el tr√°fico de navegaci√≥n que el usuario origine en su dispositivo puede ser perfectamente analizado con las herramientas adecuadas. Estamos hablando no solo de¬†conocer p√°ginas web que visite el usuario sino de contrase√Īas del usuario que en un alto porcentaje son reutilizadas para distintos servicios.

A pesar de que el tr√°fico importante (bancos, cuentas privadas, etc.) debe ser HTTPS y viajar debidamente cifrado, un atacante puede usar determinadas herramientas para extraer las contrase√Īas. Por ejemplo, son cada vez m√°s frecuentes portales que levantan los delincuentes id√©nticos a las p√°ginas originales (Gmail/Facebook, etc.) y que solicitan ‚Äúreintroducir‚ÄĚ las credenciales de usuario. Estos sitios obviamente no proceden ni de Facebook ni Gmail sino que han sido dise√Īados con el objetivo de que los usuarios dejen en dicha p√°ginas sus contrase√Īas y datos personales.

En este escenario, conviene recordar que hay que ser muy cauto al conectarse a redes Wi-Fi desconocidas. Y que, en el caso de que utilicemos este tipo de conexiones, el usuario debe ser consciente de que al realizar esa conexión está abriendo la posibilidad de que se examine su tráfico, por lo tanto debería reflexionar sobre a qué tipo de páginas accede. En otras palabras, quizá sea una buena idea dejar para cuando estemos conectados a nuestra Wi-Fi de casa consultar el saldo de nuestra cuenta.

Redacción

Aumento de ataques DDoS relacionados con aplicaciones web

El √ļltimo informe elaborado por Akamai, ofrece resultados interesantes sobre el n√ļmero y la frecuencia de ataques de tipo DDoS, y los relacionados con aplicaciones web, los cuales se incrementaron notablemente en el primer trimestre del a√Īo.

Las √ļltimas tendencias recogidas en el informe de seguridad sobre “El estado de Internet” del primer trimestre de 2016 de Akamai, se√Īalan que los sectores retail y de juegos fueron el objetivo de la mayor parte de los ataques DDoS y a aplicaciones web. El informe viene a ofrecer una visi√≥n del panorama global de amenazas de seguridad en la nube y an√°lisis a fondo de la actividad maliciosa observada en la plataforma inteligente de Akamai.

La firma hace dos trimestres destac√≥ la modalidad de diagramas Sankey para medir rendimientos. Dichos gr√°ficos ayudan a visualizar la energ√≠a, material o transferencia de costos entre los diferentes procesos. El gr√°fico no deja lugar a dudas sobre como los ataques DDoS de reflexi√≥n han mostrado una tendencia alcista en los √ļltimos cinco trimestres. Los vectores m√°s utilizados parecen estar en correlaci√≥n con el n√ļmero de dispositivos de internet que utilizan estos protocolos espec√≠ficos de servicio para fines leg√≠timos.

Durante el per√≠odo del primer trimestre de 2016, la compa√Ī√≠a de seguridad mitig√≥ m√°s de 4 500 ataques DDoS, un 125% m√°s en comparaci√≥n con el mismo trimestre correspondiente al a√Īo anterior. La mayor√≠a de estos ataques se centraron en la reflexi√≥n con herramientas basadas en booter/stresser, los cuales hacen rebotar el tr√°fico de los servidores que ejecutan servicios vulnerables como SSDP, DNS, CHARGEN Y NTP para incrementar su repercusi√≥n.

Para finales de 2015, los ataques DDoS se convirtieron en la norma con una media de 24 ataques por cliente objetivo. La tendencia se ha mantenido este trimestre, con una media de 39 ataques cada uno. Este primer trimestre ha registrado un r√©cord de n√ļmeros de ataques DDoS que exced√≠a los 100 gigabits por segundo (Gbps). De hecho, el de mayor envergadura alcanz√≥ su m√°ximo en 289 Gbps con un total de 19 mega-ataques registrados.

akamai-control-trafico

Nuevo potencial en aplicaciones web

Los ataques a aplicaciones web aumentaron en casi un 26% en comparación con el cuatro trimestre de 2015. El sector retail sigue siendo el objetivo más popular, recibiendo un 43% de los mismos. En líneas generales, descendieron un 2% los ataques a aplicaciones web a través de HTTP, mientras que aumentaron un 236% los dirigidos a aplicaciones web a través de HTTPS.

Vuelve a repetirse el escenario de trimestres anteriores en los que Estados Unidos fue el origen de la mayoría de tráfico de ataques a aplicaciones web con el 43%, y también el objetivo más frecuente de dichos ataques con un 60%.

No podemos pasar por alto el tr√°fico y la actividad relativa a los bots. Mientras que los denominados bots buenos representaron el 40% del tr√°fico, el 50% de los bots ten√≠a objetivos malintencionados y estaba implicado en campa√Īas de extracci√≥n de informaci√≥n y actividades relacionadas.

Alfonso Casas

Google, Yahoo y Microsoft publican nuevo est√°ndar de seguridad de email

El objetivo del nuevo mecanismo SMTP (Strict Transport Security es) asegurar que el tráfico de correo electrónico cifrado no es vulnerable a los ataques man-in-the-middle.

Los ingenieros de algunos de los mayores proveedores de servicios de correo electrónico de todo el mundo se han unido para mejorar la seguridad del tráfico de correo electrónico que atraviesa  Internet.

Ideado por los ingenieros de Google, Microsoft, Yahoo, Comcast, LinkedIn y 1 & 1 Mail & Media Development & Technology, el SMTP Strict Transport Security es un nuevo mecanismo que permite a los proveedores de correo electrónico definir políticas y normas para el establecimiento de comunicaciones por correo electrónico cifrados.

El nuevo mecanismo se define en un borrador, el cual fue publicado la semana pasada para su consideración como un estándar de Internet Engineering Task Force (IETF).

El Protocolo simple de transferencia de correo (SMTP), que se utiliza para transferir mensajes de correo electrónico entre clientes de correo electrónico y servidores, así como de un proveedor a otro, se remonta a 1982 y no se construyó con ninguna opción de cifrado.

En 2002, gracias a esta raz√≥n, ay una extensi√≥n llamada STARTTLS fue a√Īadida al protocolo como una manera de incluir TLS (Transport Layer Security) con conexiones SMTP. Por desgracia, durante la d√©cada siguiente, no fue adoptado ampliamente la extensi√≥n, y el tr√°fico de correo electr√≥nico intercambiados entre los servidores permaneci√≥ en gran parte sin cifrar.

Eso cambió después de 2013, cuando el exempleado  de la Agencia de Seguridad Nacional de Estados Unidos. Edward Snowden filtró documentos secretos que revelaron la vigilancia generalizada de las comunicaciones de Internet por las agencias de inteligencia de la Unión Americana, Reino Unido y otros países.

En mayo de 2014, Facebook, que env√≠a miles de millones de mensajes de correo electr√≥nico de notificaci√≥n a los usuarios todos los d√≠as, hizo una prueba y se encontr√≥ que el 58% de los mensajes de correo electr√≥nico pasa a trav√©s de una conexi√≥n cifrada con STARTTLS. En agosto de ese mismo a√Īo, la tasa aument√≥ a 95%.

Hay un problema, sin embargo: a diferencia de HTTPS (conocido como HTTP Seguro), STARTTLS permite lo que se conoce como cifrado oportunista. No valida los certificados digitales presentados por los servidores de correo electrónico, bajo el supuesto de que, incluso si la identidad del servidor no se puede verificar, cifrar el tráfico es mejor que nada. Esto significa que las conexiones STARTTLS son vulnerables a los ataques man-in-the-middle, donde un hacker en una posición de interceptar el tráfico podría presentar el remitente de correo electrónico con cualquier certificado, incluso un firmado por uno mismo, y será aceptado, lo que permite para el tráfico a ser descifrados. Además, las conexiones STARTTLS son vulnerables a los llamados ataques de versiones anteriores de cifrado, donde se extrae simplemente el cifrado.

La nueva propuesta de SMTP Strict Transport Security (SMTP STS) aborda estas dos cuestiones. Se ofrece a los proveedores de correo electrónico de los medios para informar a los clientes de que TLS que está disponible y se debe utilizar. También les dice cómo el certificado presentado debe ser validado y lo que debería ocurrir si una conexión TLS no se puede ser negociada con seguridad.

Estas pol√≠ticas¬† SMTP STS se definen a trav√©s de los registros DNS especiales a√Īadidos al nombre de dominio del servidor de correo electr√≥nico. El protocolo proporciona mecanismos para que los clientes validen autom√°ticamente estas pol√≠ticas e informen sobre cualquier fallo. Los servidores tambi√©n pueden informar a los clientes para esconder sus pol√≠ticas SMTP STS durante un per√≠odo espec√≠fico de tiempo, con el fin de evitar que los atacantes man-in-the-middle puedan usar pol√≠ticas fraudulentas cuando intentan conectarse.

El protocolo propuesto es similar al HTTP Strict Transport Security (HSTS), que está destinado a prevenir los ataques de HTTPS escondiendo la política HTTPS de un dominio localmente en el navegador. Lo hace, sin embargo, suponiendo que la primera conexión de un cliente particular hacia el servidor se realizó sin ser interceptado; de lo contrario, una política fraudulenta podría haber sido escondida.

Datos publicados por Google, se√Īala que el 83% de los mensajes de correo electr√≥nico enviados por los usuarios de Gmail a otros proveedores de correo electr√≥nico de todo el mundo est√°n cifrados, pero s√≥lo el 69% de los correos electr√≥nicos entrantes de otros proveedores se reciben por m√°s de un canal cifrado.

Tambi√©n hay grandes discrepancias en el cifrado de correo electr√≥nico entre las regiones del mundo, con proveedores de correo electr√≥nico en Asia y √Āfrica la situaci√≥n es mucho peor que la de los proveedores en Europa y Estados Unidos.

Lucian Constantin

 

Es detectada vulnerabilidad que afecta a uno de cada tres servidores con SSLv2

El protocolo SSLv2 nunca debió ser utilizado para cifrar las comunicación, así lo dejan ver expertos en seguridad, los cuales han descubierto una vulnerabilidad que permite a los atacantes escuchar las comunicaciones realizadas con servidores de tipo HTTPS.

Investigadores de seguridad han descubierto una nueva debilidad que permite a los atacantes espiar sobre las comunicaciones encriptadas entre los usuarios y un servidor de tipo HTTPS. El problema aparece debido a que muchos servidores HTTPS todav√≠a soportan el antiguo protocolo e inseguro SSL (Secure Sockets Layer) en su versi√≥n 2. De hecho, SSLv2 fue sustituido por SSLv3 en el a√Īo 1996, pero oficialmente no qued√≥ obsoleto hasta el a√Īo 2011. A partir de entonces, SSLv3 fue reemplazado tambi√©n por el m√°s moderno TLS (Transport Layer Security) en sus versiones 1.0, 1.1 y 1.2.

El protocolo SSLv2 se√Īala que nunca debi√≥ ser utilizado para cifrar las comunicaciones. Sin embargo, los expertos en seguridad no han detectado hasta ahora que este hecho suponga una amenaza seria en las configuraciones de servidores, debido a que los navegadores modernos y otros clientes TLS ya no lo usan. Esto no impide que los ciberdelincuentes puedan emplearlo para otros fines, se√Īalan que uno de cada tres servidores puede verse afectados al seguir soportando dicho protocolo.

En base a un trabajo de investigación publicado recientemente, se ha demostrado que si un servidor HTTPS se apoya todavía en el protocolo SSLv2, está permitiendo que un atacante pueda explotar y descifrar las conexiones que se producen entre dicho servidor y sus clientes a pesar de que las conexiones estén empleando la versión más reciente y segura del protocolo TLS.

Estos ataques, apodados como DROWN (Decrypting RSA with Obsolete and Weakened eNcryption) tienen varios requisitos previos que deben cumplirse. En primer lugar, necesita que el servidor HTTPS comparta su clave privada con otro servidor que se basa en SSLv2, por ejemplo, un servidor de correo electrónico. Resulta bastante habitual que las organizaciones utilicen la misma clave privada o certificado para implementaciones TLS en ambos servidores, tanto en el Web como en el servidor de correo.

down-attack-diagram

Las conexiones observadas necesitan utilizar el algoritmo de intercambio de claves RSA durante la conversaci√≥n entre ellos, pero esto no debe suponer problema alguno para los atacantes, dado que RSA sigue siendo el m√©todo de intercambio de claves m√°s popular en las implementaciones TLS. Una vez que el atacante tiene las conexiones capturadas, debe conectarse al servidor a trav√©s del protocolo SSLv2 y enviar mensajes de reconocimiento dise√Īados espec√≠ficamente.

-Alfonso Casas

 

Cinco herramientas para mantener tu privacidad online

Una de las grandes preocupaciones es la seguridad de los datos, así como la privacidad a la hora de manejar diferentes equipos y navegadores web, aquí te proponemos una serie de herramientas que te permitirán evitar los típicos exploradores de terceros.

A excepción de uno de los programas propuestos, también le compartimos para dispositivos móviles, los otros cuatro son de código abierto, por lo que pueden ser utilizados gratuitamente. En la mayoría de los casos, basta con descargarse el plug-in correspondiente para el navegador Web que utilice habitualmente. Algunos ofrecen funciones más avanzadas de personalización para poder fijar los ajustes en cada caso.

Privace Badger

Privacy Badger es una extensi√≥n utilizada para navegadores Firefox y Chrome, la cual permite bloquear la mayor√≠a de los anuncios que tienen un car√°cter invisible, aquellos que realizan un seguimiento de las p√°ginas que visitamos, todo ello sin nuestro consentimiento. Privacy Badger agrega una capa adicional de protecci√≥n, incluso aunque ya tengamos alg√ļn software dedicado para esta finalidad, lo cual viene bien debido a que algunos bloqueadores no vienen configurados de manera predeterminada.

La herramienta se configura de manera rápida, con tres sencillos ajustes mostrados en colores verde, amarillo y rojo. El rojo bloquea el anuncio, mientras que el amarillo hace que las cookies no sean utilizadas por el rastreador. El verde significa que dejamos vía libre. Siempre es posible anular la configuración por bloques individuales, o hacer una pausa de privacidad cuando lo consideremos oportuno.

HTTPS Everywhere

Creada por Electronic Frontier Foundation (EFF) se trata de otra extensión para los usuarios de los navegadores Firefox, Opera, así como Firefox para dispositivos móviles Android, la cual hace que la navegación en páginas web sea más segura gracias al cifrado de la información enviada y recibida entre dicho navegador y las URL que soportan el protocolo HTTPS.

Para entenderlo, lo que hace la herramienta es reescribir todas las peticiones hechas bajo HTTP y las traslada a peticiones HTTPS. Ahora bien, el plug-in solo trabaja cuando utilizas contenidos bajo dominios con HTTPS.

Ublock Origin

Ublock Origin es un bloqueador de anuncios de código abierto y lo puede encontrar como extensión para Firefox y Chrome. Se ha hecho muy popular entre los usuarios por su escaso uso de la CPU con lo que apenas consume recursos del sistema cuando se encuentra activa. Además de sus capacidades de bloqueo, Ublock Origin también permite a los usuarios leer y crear filtros adicionales a partir de otros archivos, con una amplia lista de funciones entre las que elegir. De cara a su uso entre usuarios avanzados, también permite sacar el máximo partido por su gran personalización ofrecida.

Purify ad Blocker

Considerado como el mejor bloqueador de anuncios para iOS, quizá porque fue de los primeros en llegar para los usuarios de Apple, así como para el navegador Safari. No es gratuito, pero es posible encontrarlo en la tienda App Store por tan solo 99 centavos de dólar, con un uso limitado en el tiempo. Es utilizado para navegar por las páginas web con la tranquilidad ya que no nos aparecerán ventanas emergentes ni sufriremos un rastreo de nuestra navegación, lo que reduce el uso de datos móviles y mejora la velocidad. También podemos establecer una lista blanca de sitos web favoritos. También es posible bloquear scripts, fuentes personalizadas, así como imágenes.

TOR

De las siglas The Onion Router (TOR) se trata de un software gratuito que usa una red abierta con la finalidad de permitir que podamos mejorar la privacidad y seguridad en la red. Es otra herramienta interesante, ya que si le preocupa el rastreo de sus datos por parte de terceros. Todos aquellos datos que envíe, son transportados a través de diversos puntos, con lo que logra ocultar la verdadera fuente desde la que se originó la comunicación.

-Alfonso Casas

Bing encriptar√° el tr√°fico de todas sus b√ļsquedas

bing_redise_aDesde hace m√°s de a√Īo y medio Bing ha ofrecido el protocolo HTTPS como una opci√≥n, sin embargo, el famoso buscador de Microsoft lo har√° por default a todas las consultas realizadas. Con esta acci√≥n Bing proporciona una capa extra de protecci√≥n a los usuarios, ayud√°ndoles a que sus movimientos online se encuentren lejos del ojo hacker.

Gracias a esta nueva implementaci√≥n Microsoft se encuentra a la par del mercado de b√ļsquedas. En 2011, Google empez√≥ a cifrar las b√ļsquedas por defecto, para los usuarios que usaran su cuenta de Google. En 2013, modific√≥ esta conducta al utilizar protocolo HTTPS en todas sus b√ļsquedas. Yahoo hizo lo propio en 2014 al cifrar el tr√°fico de b√ļsquedas desde su p√°gina de inicio.

Este cambio tambi√©n influye en el modo en que los webmasters obtienen informaci√≥n sobre las b√ļsquedas que llevan a sus sitios web. La compa√Ī√≠a seguir√° ofreciendo una referencia para que los operadores de sitios web y de marketing puedan ver el tr√°fico cifrado que proviene del buscador de Microsoft, pero no proporcionar√° el t√©rmino exacto de b√ļsqueda que llev√≥ a la gente a una p√°gina.

Bing Webmaster Tools seguir√° proporcionando las palabras clave agregadas y datos de clasificaci√≥n para que los operadores de sitios web pueden realizar un seguimiento de lo que atrae a los usuarios a sus sitios web. Los anunciantes podr√°n ver qu√© b√ļsquedas activas desencadenaron sus anuncios en Bing con el Search Query Terms Report, que tambi√©n proporciona informaci√≥n m√©trica como n√ļmero de clicks, impresiones o conversaciones.

 

Blair Hanley Frank, IDG News Service

¬ŅEl gobierno de Estados Unidos usar√° para todos sus sitios https?

https(1)

El gobierno de la uni√≥n americana ordena el uso del protocolo HTTPS en todos sus sitios y servicios en l√≠nea¬†p√ļblicos¬†para finales de 2016.

El progreso¬†del protocolo https dar√°¬†legitimidad a la comunicaci√≥n de los sitios gubernamentales de Estados Unidos,¬†adem√°s¬†encriptar√° el env√≠o y recepci√≥n de datos, con esto se¬†ayudar√° a la protecci√≥n ante intrusos¬†y p√°ginas ap√≥crifas. Este protocolo, su¬†uso est√° indicado mediante el icono de un candado verde en la barra de direcciones del navegador web, durante varios a√Īos se ha utilizado este indicativo en p√°ginas bancarias, aunque¬†ha aumentado su uso en gran medida durante¬†los √ļltimos a√Īos.

La aplicación de esta medida de seguridad desemboca por las revelaciones que ha hecho Edward Snowden sobre el espionaje que realiza el Gobierno Estadounidense por lo que resulta algo lógico que se estén implementando estas medidas de seguridad. Es por esto que el estado norteamericano está procurando hacer más difícil que terceras personas infrinjan en sus medios de comunicación, de esta forma la interacción con los sitios del gobierno será mucho más segura para la población.

Tony Scott, CIO de Estados Unidos, a rectificado una orden para desarrollar el Https y el uso del HTTP Strict Transport Security (HSTS), que es un sistema en el cual le da instrucciones al navegador web para conectarse siempre a un sitio web a través del protocolo HTTPS , esto bloquea la redirección a un sitio inseguro de un usuario.

-Martyn Williams, IDG News Service

La seguridad en internet dentro del HTTPS

Cualquiera que ha utilizado Internet ha visto la barra direcci√≥n de su navegador y notado una serie de letras que son ‚ÄėHTTP‚Äô o ‚ÄėHTTPS‚Äô. A primer vistazo puede parecer que la √ļnica diferencia es la letra S.

El Protocolo de Transferencia de Hipertexto (HTTP por sus siglas en inglés) es un protocolo de comunicación que forma la base de Internet. Cuando se ingresa la URL que se desea visitar en la barra de direcciones del navegador, se envía un comando HTTP al servidor Web relevante dando instrucciones de mandar una página Web particular.

La primera versión documentada fue publicada en 1991. A medida que continuó el trabajo en el protocolo hubo mayor conciencia acerca de la importancia de la seguridad en las comunicaciones en Internet. De esa preocupación resultó el Protocolo de Transferencia Segura de Hipertexto, conocido generalmente por su abreviación HTTPS.

T√©cnicamente HTTPS realmente no es un protocolo; en realidad es una capa de HTTP sobre el protocolo SSL/TLS. SSL significa Secure Sockets Layer y junto con TransportLayer Security (TLS) es un protocolo criptogr√°fico dise√Īado para proteger el tr√°fico en Internet. Esencialmente, SSL y TLS usan llaves de codificaci√≥n p√ļblicas y secretas para intercambiar una llave de sesi√≥n para encriptar datos mandados de un cliente a un servidor. Tanto TLS como SSL utilizan certificados X.509 para autenticar la m√°quina con la que se comunican e intercambiar una llave.

La codificación bidireccional de las comunicaciones entre el cliente y el servidor ofrece una barrera para proteger los datos de los ojos de los atacantes. Esto mantiene a raya los ataques de intermediarios donde un maleante se conecta con ambas partes y se mete entre ellas, interceptando efectivamente las comunicaciones e inyectando tráfico nuevo.

Aunque todo eso es bueno muchos sitios en la Web a√ļn usan HTTP en lugar de HTTPS por muchas razones. A menudo una de las principales razones es que HTTPS puede hacer lentos los sitios web lo cual no es totalmente falso. Pero mientras que cargar un sitio web sobre HTTPS no hace a los sitios m√°s r√°pidos eso se puede resolver de muchas maneras.

El resultado final de este proceso es una capa extra de protecci√≥n para los datos contra los ojos de los atacantes o de gobiernos. Durante los √ļltimos a√Īos la preocupaci√≥n por la privacidad incit√≥ a empresas como Google y Yahoo! a utilizar la codificaci√≥n y HTTPS para proteger los resultados de b√ļsqueda y de los usuarios de su servicio de correo web. Las mismas preocupaciones llevaron a ElectronicFrontierFoundation y al Proyecto TOR a trabajar en conjunto para ofrecer la extensi√≥n HTTPS Everywhere a los usuarios de Google Chrome y de Mozilla Firefox.

Esas son muchas diferencias resumidas en una sola letra. Pero al final la ‚ÄėS‚Äô en HTTPS es m√°s que una letra ‚Äď es una l√≠nea delgada que separa la privacidad de la exposici√≥n en la Internet.