Certificados SSL

Cuando visitamos un sitio web y nos aparece en el navegador el prefijo https:// nos indica que:

  • Existe un certificado no caducado: los certificados caducan cada cierto tiempo o son revocados/cancelados en la lista de comprobación de sus emisores.
  • Existe un certificado digital emitido para este sitio: la dirección URL de la web coincide la del certificado.
  • Existe un certificado emitido por una entidad de confianza: confiamos en un emisor y sus listas.

¿Quiere decir que el sitio web es seguro? No. La lista de entidades emisoras de certificados de confianza es diferente para Microsoft, Firefox, Apple… con sus correspondientes almacenes. Es perfectamente posible que recibamos con Chrome un aviso de seguridad y con Firefox no, teniendo instalados ambos en el mismo equipo.

Las entidades de certificación a su vez puedes emitir certificados intermedios a otras entidades, y esta emitir los suyos. Algo así como diría Groucho Marx: «la parte contratante de la primera parte será considerada como la parte contratante de la primera parte»

Dado que se emiten y cancelan millones de certificados cada día, tanto Microsoft como Apple van introduciendo las actualizaciones de entidades automáticamente en sus sistemas operativos, y las entidades, con sus certificados de sitios e intermedios.

En la mayoría de casos este funcionamiento predeterminado facilita el uso general y acceso a sitios web, aunque podemos hacerlo de forma manual y desactivar esta opción en Windows:

Si pese a ello seguimos pensando que todo esta bien, tenemos la falsa idea de seguridad con el candado de nuestro navegador, pongamos otro ejemplo; hemos visto que la lista de entidades de certificación es difícil de gestionar tanto para empresas como usuarios finales, sería posible con un ataque main-in-the-middle con un certificado válido interceptar el tráfico SSL: sí.

 

Lecturas recomendadas:

HTTP error 451

Hasta ahora estábamos acostumbrados de vez en cuando a recibir errores de archivos no encontrados (404), acceso no permitido (401), errores internos (500) de esta larga lista ahora añadimos otro:

No disponible por razones legales / Unavailable For Legal Reasons (451)

Lo que puede incluir: infracción de derechos de autor, seguridad nacional o cualquier otra ley. Veremos hasta que punto se hace «buen» uso de esta opción.

Una nube pública segura

El boom alcanzado estos últimos años en los entornos cloud debe ir acompañado de las garantías de seguridad necesarias para el buen funcionamiento y seguridad de la información. Según la normativa ISO/IEC 27018:2014 deben cumplirse y garantizarse varias aspectos a tener en cuenta:

  • El cliente es quien controla sus datos: solo personas autorizadas tienen acceso a la información.
  • Transparencia: conocer donde están alojados los datos, así como cualquier otra tercera empresa que pudiera tener acceso a los data centers, por ejemplo en labores de mantenimiento. En caso de perdida, alteración o revelación de información debe informarse con al información detallada.
  • Alta seguridad: todos los empleados deben cumplir con la mayor confidencialidad asi como los medios técnicos de transmisión sobre redes públicas u otros medios de transporte
  • Tus datos no se usarán para publicidad
  • En caso de petición de un gobierno de acceso a los datos, este debe ser informado
Seguridad Cloud

Medias verdades sobre httpS

¿Habéis recibido algún mensaje de este tipo a traves de la red social o correo?

«Cuando estéis en Facebook, mirad la dirección que os aparece arriba. Si veis http: en vez de https:, entonces es que no tenéis una conexión segura y vuestra cuenta puede ser hackeada. Id a Cuenta/Configuración de Cuenta/Seguridad de Cuenta y clickar en Cambiar. Marcad al menos la primera opción, sino Facebook opta por la configuración no segura.» 

httpS en el navegador

Intentaremos aclarar un poco el tema… utilizar HTTPS garantiza hasta cierto punto que la comunicación entre 2 puntos (tu ordenador y una página web por ejemplo) se realiza de forma segura y no hay nadie escuchando por el camino (por lo menos a día de hoy y con la capacidad de los procesadores actuales)

Que la comunicación entre las partes sea seguro no quiere decir que la información enviada de esta forma sea fiable y/o legítima. Un ejemplo, si existe un virus en tu ordenador que abre webs, envía datos… y lo hace por httpS esta información no es más fiable por ello.


Transmisión de archivos

Para una comunicación más segura ambas partes deberían identificarse primero, mediante certificados por ejemplo, para asegurar que cada u

no es quien dice ser. Por ejemplo, si yo utilizo mi DNI electrónico para ver mis puntos en la Dirección General de Tráfico (DGT) utilizo el certificado de mi DNI para validarme frente a otra entidad también certificada.

    Esta nota solo intenta arrogar un poco de luz sobre estos tipos de bulos no pretende ser una guía sobre encriptación, SSL, XSS, capas… 

TDSS: virus casi indestructible

Hay muchas formas de acabar infectado por parásitos en nuestros ordenador, pero cuando intereses monetarios entran en juego se perfeccionan mucho. En este caso hablamos de un bootkit (MBR rootkit), en cristiano, un software que se inicia antes incluso que el propio Sistema Operativo; lo que hace que su detección y eliminación sea algo más compleja.

La novedad viene de la forma de comunicación, ya que se cifran las ordenes y se distribuyen por redes P2P (emule, kazaa, kad…) para llegar a los ordenadores infectados (zombies).

La finalidad de este software es instalar más malware, utilizar los equipos para ataques de denegación de servicio (como el que recientemente se realizó contra la SGAE, Policia…), mostrar publicidad… todo aquello con lo que los creadores consigan obtener beneficios económicos.

Desde principio de año la última variante conocida, TDL-4, infectó a más de 4,5 millones de ordenadores en todo el mundo, además los desarrolladores del TDL-4 dan la posibilidad a terceros para que contagien los ordenadores. Por cada 1.000 instalaciones del software, los socios reciben de 20 a 200 dólares. Lo que hace más patente la finalidad del mismo.

¿Como combatirlos? Lo primero de todo, como siempre, utilizando la cabeza! nadie va a regalarte un avión (ni 1 euro) por enviar una invitación a tus amigos o por registrarte en una página de dudosa procedencia! Para lo demás, manten tu equipo y antivirus actualizado!

Más información: http://www.securelist.com/en/analysis/204792180/TDL4_Top_Bot