domingo, 26 de julio de 2015

SSL la ilusión de una conexión Web segura

Servidores Web en los que se realizan transacciones privadas a través de Internet o manejan información privada, deben tener una forma de cifrado habilitada que codifica los datos enviados en línea, a fin de proteger la sesión de cualquier espionaje .

SSL (Secure Sockets Layer) es un algoritmo diseñado para utilizar la tecnología de cifrado de alta seguridad, existentes para proteger la información transferida entre un navegador Web y un servidor Web. Sin embargo, si SSL no está configurado correctamente puede proporcionar la ilusión de que una conexión Web es seguro, cuando en realidad la conexión sigue siendo vulnerable a los ataques maliciosos y espionaje.


Sin salir del navegador, basta dar clic en el icono a la izquierda de la URL para conseguir más información acerca de la seguridad del sitio que estamos visitando en el momento.

El certificado SSL detalla información como: si el tráfico está cifrado, qué entidad ha emitido el certificado, las características del cifrado, etc. Lo que no podemos determinar con esa información, al menos no los ojos inexpertos, es la calidad de implementación de ese cifrado. Para eso existen herramientas en línea como la que proporciona gratuitamente Qualys SSL Labs

La herramienta Qualys SSL Labs es un servicio online que permite inspeccionar la configuración de cualquier servidor SSL público. Se encarga de verificar la implementación de diferentes protocolos (SSL, TLS); validez del certificado; renegociación; reutilización de sesiones; suites de cifrado disponibles, obsoletas y poco comunes; vulnerabilidad a ataques BEAST y POODLE; OCSP Stapling; simulación de handshakes, etc.

Su funcionamiento es sencillo, introduces una dirección URL para examinarla y  obtienes como resultado un cuadro muy sencillo de comprender, que con toda la información que recopila elabora un reporte detallado y asigna una calificación de: A (excelente) a la F (desastroso) de acuerdo a la configuración del servidor y a las vulnerabilidades encontradas.
 
Exponemos a continuación algunos sitio web en el Ecuador, que a pesar que tienen certificados de seguridad, podemos encontrar que sus conexiones siguen siendo vulnerable a los ataques informáticos.

Prueba realizada [26-Jul-2015] intermatico.com.ec Banco del Pacífico

Prueba realizada [26-Jul-2015] pichincha.com Banco del Pichincha

Prueba realizada [26-Jul-2015] produbanco.com Banco Produbanco

Prueba realizada [26-Jul-2015] bancavirtual.bankguay.com Banco de Guayaquil

Prueba realizada [26-Jul-2015] https://www3.bolivariano.com/bancav/ Banco Bolivariano
Prueba realizada [26-Jul-2015] accroachcode.com ACCROACHOCODE


El problema como usuarios es que no podemos conformanos con menos de una A. Porque de eso trata el servicio, que es útil al propietario de un servidor, pero también al usuario común. Como consecuencia de las amenazas modernas de seguridad y de la constante aparición de nuevas brechas y vulnerabilidades de seguridad en los protocolos y algoritmos de cifrado, es necesario garantizar la seguridad de los servidores HTTPS.

La calificación A en  las pruebas de Qualys SSL Labs denota un nivel de seguridad razonablemente bueno. Lo alarmante, es probar esta herramienta contra los servidores de Bancos  que utilizamos a diario. Muchos bancos y entidades financieras tiene calificaciones F, lo que implica que son vulnerables a todos los ataques que existen hasta el momento.

Es preocupante cómo los bancos dejan la administración y desarrollo de sistemas críticos exponiendonos como usuarios. Si no son blanco de ataques más frecuentemente, es sólo porque las implicancias de ejecutar un ataque contra un banco o entidad financiera son muy altas en términos legales.

Lejos de ser un caso aislado, terminamos este blog con un enlace de Kaspersky en el cual exponen el CARBANAK APT: Ciberataque dirigido a cajeros ATM. Un nuevo tipo de malware bancario denominado Tyupkin, que facilitaba a los criminales la obtención de control completo sobre los cajeros automáticos, permitiéndoles el robo de importantes cantidades de dinero en efectivo sin necesidad de uso de tarjetas de crédito o débito


Y dejamos este enlace para aquellos entusiaste en el hacking que desean conocer un poco más de como poder burlar esos sistemas que siguen sin preocuparse por la seguridad digital.


Leer más...

martes, 7 de julio de 2015

Galardón internacional a la calidad en París


La Organización Business Initiative Direction, BID Group entregó en la categoría Oro el pasado 27 de Junio en la ciudad de París / Francia, el reconocimiento International Star for Leadership in Quality Award (ISLQ). Ceremonia a la cual asistiron empresas de 74 países que cumplen su compromiso con la calidad y excelencia, junto con líderes de diversos sectores empresariales, profesionales del mundo de la economía, las artes y la imágen corporativa, expertos en calidad, así como personalidades académicas y representantes de cuerpos diplomáticos.

¿ Cómo se otorga el premio ?

La Convención Internacional a la Calidad CQE está organizada por BID Group One y Business International Directions. El premio Internacional BID Quality Award se otorga a las empresas por sus logros corporativos, como reconocimiento a la calidad y excelencia en base al cumplimiento de los criterios del TQM ( Total Quality Management) Q100 cuyos contenidos orientan a los líderes de las empresas a mejorar los procesos y sistemas.

Los miembros del comité internacional de selección de candidatos tienen la responsabilidad de buscar y seleccionar empresas para ser nominadas al galardón ISLQ de BID, dicho comité cuenta con la participación de lideres empresariales de mas de 90 países que se reúnen anualmente en Londres, París, Nueva York, Fráncfort y Ginebra, sus votos son determinantes para elegir al ganador del premio BID a la Calidad, a esto se añade los resultados obtenidos en votaciones por internet, informaciones de Cámaras de Comercio, Embajadas y medios de comunicación. Todo esto garantiza una cuidadosa selección de empresas nominadas y la presentación final de candidaturas.

¿ Cuáles son los criterios ?

El comité internacional de selección de candidatos considera como criterios de selección para ser empresa nominada al galardón Internacional Star for Leadership in Quality de BID los que vengan avalados por cualquiera de los conceptos enumerados, seleccionando cinco de ellos representativos dentro de la estrategia empresarial:

1.     Satisfacción Al Cliente     
2.     Calidad      
3.     Excelencia Empresarial     
4.     Marca
5.     Innovación                        
6.     ISO 9001        
7.     Implantación del TQM  
8.     Marketing
9.     I+D   
10.  Medio Ambiente        
11.  Rentabilidad         
12.  Liderazgo
13.  Formación Continua     
14.  Reciclaje      
15.  Crecimiento Sostenido  
16.  Gestión
17.  Servicio Post-Venta


Flickr - fotos de la convención

Enlace de una noticia que aparece en la revista IdeasB2B, una de las publicaciones de Imarpress, sobre ACCROACHCODE S.A.. La noticia refleja la repercusión del Premio Internacional BID a la Calidad otorgado en París. 
Leer más...