domingo, 26 de julio de 2015

SSL la ilusión de una conexión Web segura

Servidores Web en los que se realizan transacciones privadas a través de Internet o manejan información privada, deben tener una forma de cifrado habilitada que codifica los datos enviados en línea, a fin de proteger la sesión de cualquier espionaje .

SSL (Secure Sockets Layer) es un algoritmo diseñado para utilizar la tecnología de cifrado de alta seguridad, existentes para proteger la información transferida entre un navegador Web y un servidor Web. Sin embargo, si SSL no está configurado correctamente puede proporcionar la ilusión de que una conexión Web es seguro, cuando en realidad la conexión sigue siendo vulnerable a los ataques maliciosos y espionaje.


Sin salir del navegador, basta dar clic en el icono a la izquierda de la URL para conseguir más información acerca de la seguridad del sitio que estamos visitando en el momento.

El certificado SSL detalla información como: si el tráfico está cifrado, qué entidad ha emitido el certificado, las características del cifrado, etc. Lo que no podemos determinar con esa información, al menos no los ojos inexpertos, es la calidad de implementación de ese cifrado. Para eso existen herramientas en línea como la que proporciona gratuitamente Qualys SSL Labs

La herramienta Qualys SSL Labs es un servicio online que permite inspeccionar la configuración de cualquier servidor SSL público. Se encarga de verificar la implementación de diferentes protocolos (SSL, TLS); validez del certificado; renegociación; reutilización de sesiones; suites de cifrado disponibles, obsoletas y poco comunes; vulnerabilidad a ataques BEAST y POODLE; OCSP Stapling; simulación de handshakes, etc.

Su funcionamiento es sencillo, introduces una dirección URL para examinarla y  obtienes como resultado un cuadro muy sencillo de comprender, que con toda la información que recopila elabora un reporte detallado y asigna una calificación de: A (excelente) a la F (desastroso) de acuerdo a la configuración del servidor y a las vulnerabilidades encontradas.
 
Exponemos a continuación algunos sitio web en el Ecuador, que a pesar que tienen certificados de seguridad, podemos encontrar que sus conexiones siguen siendo vulnerable a los ataques informáticos.

Prueba realizada [26-Jul-2015] intermatico.com.ec Banco del Pacífico

Prueba realizada [26-Jul-2015] pichincha.com Banco del Pichincha

Prueba realizada [26-Jul-2015] produbanco.com Banco Produbanco

Prueba realizada [26-Jul-2015] bancavirtual.bankguay.com Banco de Guayaquil

Prueba realizada [26-Jul-2015] https://www3.bolivariano.com/bancav/ Banco Bolivariano
Prueba realizada [26-Jul-2015] accroachcode.com ACCROACHOCODE


El problema como usuarios es que no podemos conformanos con menos de una A. Porque de eso trata el servicio, que es útil al propietario de un servidor, pero también al usuario común. Como consecuencia de las amenazas modernas de seguridad y de la constante aparición de nuevas brechas y vulnerabilidades de seguridad en los protocolos y algoritmos de cifrado, es necesario garantizar la seguridad de los servidores HTTPS.

La calificación A en  las pruebas de Qualys SSL Labs denota un nivel de seguridad razonablemente bueno. Lo alarmante, es probar esta herramienta contra los servidores de Bancos  que utilizamos a diario. Muchos bancos y entidades financieras tiene calificaciones F, lo que implica que son vulnerables a todos los ataques que existen hasta el momento.

Es preocupante cómo los bancos dejan la administración y desarrollo de sistemas críticos exponiendonos como usuarios. Si no son blanco de ataques más frecuentemente, es sólo porque las implicancias de ejecutar un ataque contra un banco o entidad financiera son muy altas en términos legales.

Lejos de ser un caso aislado, terminamos este blog con un enlace de Kaspersky en el cual exponen el CARBANAK APT: Ciberataque dirigido a cajeros ATM. Un nuevo tipo de malware bancario denominado Tyupkin, que facilitaba a los criminales la obtención de control completo sobre los cajeros automáticos, permitiéndoles el robo de importantes cantidades de dinero en efectivo sin necesidad de uso de tarjetas de crédito o débito


Y dejamos este enlace para aquellos entusiaste en el hacking que desean conocer un poco más de como poder burlar esos sistemas que siguen sin preocuparse por la seguridad digital.