CONCEPTO
|
DESCRIPCIÓN
|
Cronología
(¿Cuándo?)
|
Incidentes de Seguridad Protocolo HTTPS
El pasado 20 de septiembre del 2011,
DigiNotar, la autoridad holandesa de emisión de certificados, se ha declarado
en bancarrota tras un grave fallo de seguridad. En un solo ataque se robaron
más de 500 certificados, que eran utilizados para autenticar sitios con
conexiones seguras a través de SSL.
El día lunes 7 de abril del 2014, se
descubrió un fallo llamado Heartbleed, que por causa de un error o
vulnerabilidad de software en la biblioteca criptográfica OpenSSL, causa que
atacantes pueden capturar la información
de como primera medida de sitios web, servidores web, servidores de correo
(SMTP e IMAP), webmail, plataformas e-commerce, IM y VPN’s, además de llaves
encriptadas, credenciales de inicio de sesión, bancos y redes sociales.
HTTPS, el protocolo seguro de
transferencia de hipertexto en Internet, ha vuelto a ser hackeado, El ataque
que se sirve de esta recién descubierta vulnerabilidad ha sido reproducido
durante la conferencia de seguridad informática Black Hat y recibe el nombre
de BREACH que, además de significar “brecha” o “violación” se corresponde con
Browser Reconnaissance and Exfiltration via Adaptive Compression of
Hypertext, algo así como reconocimiento y exfiltración de navegador a través
de la compresión adaptativa del hipertexto. Permitiendo a atacantes
potenciales robar desde IDs de usuarios y direcciones de correo electrónico
hasta los mismísimos tokens de autenticación.
Con base en los anteriores incidentes es
necesario optar medidas drásticas en la seguridad y en los certificados con
que cuentan los servidores para así evitar posibles fallas o ataques de
personas ajenas (Piratas), y que la información siempre este asegurada.
|
Axiomas
(¿Quién?)
|
Todas las empresas que cuentan con
Servidores web, Servidores de correo (SMTP e IMAP), Webmail, plataformas
e-commerce, IM y VPN’s. Es necesario que todos los sistemas que utilicen este
protocolo sean actualizados de forma inmediata, también que se revisen las
políticas de seguridad que se tienen, para detectar posibles falencias, para
así corregirlas y prevenir que sucedan estos incidentes.
|
Método
(¿Cómo?)
|
Para poder mejorar y revisar el nivel de seguridad que se tiene,
es necesario:
-Diagnosticar todos los sistemas que
usan HTTPS, para actualizar las versiones instaladas y prevenir este tipo de
ataque.
-Para proteger la transferencia de
archivos sobre HTTPS y servicios de FTP, como podrían ser las actualizaciones
de nuevas páginas por parte de un propietario de una página web o la
transmisión de archivos pesados.
-Para proteger el tráfico en una
intranet como es el caso de las redes internas, la función compartir
archivos, las extranet o las conexiones a bases de datos.
-Para proteger los accesos a redes y
cualquier otro tráfico de red con VPNs de SSL como podrían ser los servidores
de acceso VPN o las aplicaciones como Citrix Access Gateway.
-Generar claves privadas de 2048 bits
- Revisar como están contenidas estas páginas en su
contenido mixto, ya son aquellas que son transmitidas sobre TLS pero incluyen
recursos (JavaScript, imágenes, hojas de estilo) que son transmitidas de
forma insegura (a través de HTTP plano).
-Verificar el algoritmo utilizado para
la firma y el tipo de mecanismo que utiliza para mantener la información de
revocación (CRL y OCSP), en la encriptación de las páginas web en servidores
HTTPS
-Revisión, Verificar el sistema de redes
en la que está presentando la filtración del sistema TCP/IP ,Correo, NFS,
puertos de Netbios, DNS, FTP, HTTP, SMTP, NNTP., en todos los equipos que se
vaya a trabajar en la red
-Protección, tener protección firmware
en las máquinas y generar múltiples protección en los códigos SSL.-TLS dentro los sistemas NetBios, DNS, HTTPS, FTP,
SMTP, NNTP.
|
Ontología
(¿Qué?)
|
Revisión, identificación, y Corrección
de posibles fallos de seguridad en el Protocolo HTTPS, teniendo en cuenta los
incidentes ya presentados, y las soluciones brindadas ante estos incidentes.
Además de las recomendaciones y de conocimientos sobre seguridad en la web.
Realizar
políticas específicas de ajuste con respecto a los cifrados y a los
protocolos que estén disponibles para aplicaciones que utilizan la interfaz
SCHANNEL de criptografía en la seguridad de los canales HTTPS generando una mayor seguridad.
|
Tecnología
(¿Con qué?)
|
Utilizando adecuadamente las
herramientas brindadas para la seguridad en la web, tales como los
certificados, datos encriptados, utilización de protocolos HTTPS, buen uso de
las herramientas informáticas, se contribuirá a minimizar posibles incidentes
en la seguridad, en donde la información se vea afectada.
Modificar el tiempo de la cache T la red
LS / SSL.
Generar mayor protección en los
protocolos de la red, para sí tenga un máximo de protección en los sistemas
de transporte HTTPS.
|
Teleología
(¿Para qué?)
|
Esto se debe realizar para garantizar
que la seguridad en la web sea la ideal, y que la información que sea
suministrada, compartida, no sea alterada o interceptada por personas ajenas
a esta, y la utilicen para beneficio propio. Tales como el robo de cuentas
bancarias, contraseñas, información confidencial que únicamente le es útil a
su receptor. Garantizar que la información sea consistente y real.
En la investigación que se realiza de
las vulnerabilidades de los protocolos HTTPS, se evidencia muchos hackers que ingresan sin autorización para la
entrega de información a terceros, que no están autorizados para suministrarla.
Por parte del proyecto debe garantizar
políticas de códigos cifrados y protocolos bien estructurados una la mayor protección, que la información no
sea alterada, extraída y manipulada por personas escrupulosas para ser daño
el sistema HTTPS.
|
Topografía
(¿Dónde?)
|
En los sitios web. La seguridad en la
web es el principal pilar en donde se realizara, ya que es allí donde los incidentes
anteriormente descritos pueden ocurrir, y es allí en donde se debe actuar
para que estos no ocurran; Por el
contrario se refuerce la seguridad, que se pueda respirar un aire
tranquilidad, y sobre todo que el usuario se sienta seguro al realizar
cualquier tipo de acción, en donde se esté manejando información, y que
utilice alguna herramienta en la web.
Las Características apropiada de
establecer el estudio de los componentes de HTTPS, es trabajar sobre los recursos propios del
software y hardware, en la seguridad de sus páginas a proteger, todo se
encuentre bien conectado y asegurado tanto en la maquinas, switchs, routers,
Etc. el usuario se sienta seguro de toda su información generada en la
páginas WEB.
|
Ecología
(¿Contra qué?)
|
Este proyecto no influye físicamente con
el medio ambiente, ya que su realización se hace de manera intangible, no hay
contaminación ambiental, lo que si tiene relación es con todos los sistemas
de información, los cuales son vulnerables a cualquiera de los ataques
descritos, y que necesitan intervención inmediata, para no caer en este tipo
de situaciones. El estudio se basa en los Sistemas de información, generado
en máquinas (servidores) con mano de conocimiento tecnológico Humano.
|
Etiología
(¿Por qué?)
|
¿Los sistemas de la web cuentan con
bastante seguridad incluso con protocolos de cifrado y transferencia HTTPS?
No, ningún sistema que está en la web,
aun con la implementación de protocolos como el HTTPS, están seguros ya que
no solo se debe implementar esta tecnología de cifrado, sino que además se
debe realizar la configuración correctamente, y estar atentos a nuevas
actualizaciones, y formas de reforzar la seguridad, por tal motivo este
proyecto busca mejorar los niveles de seguridad, que la seguridad en la web sea la más
efectiva contra los ataques.
|
Experiencia
(¿Cuánto?)
|
La Experiencia que se tiene del proyecto, son de las
experiencias vividas en los sistemas de información de todos los años, con
los diferentes ataques presentados en las páginas web, extrayendo
información, modificando, y dañando, la reputación de una empresa que está en
la web, por ende se requiere una estabilidad de seguridad en HTTPS, para generar
conciencia de tranquilidad y manejo de
sistemas de información al usuario final.
Con el transcurso del desarrollo del proyecto, se realizara la
cuantificación del impacto que se obtuvo según los lineamientos establecidos
para el desarrollo de este.
|
Referencias Bibliográficas
Redacción
VSAntivirus. (2003). Grave vulnerabilidad en el manejo del búfer de OpenSSH.
Tomado de: http://www.vsantivirus.com/vul-openssh.htm
Diego, L. V. J.,
& Alonso, G. G. P. (2009). VULNERABILIDADES SOBRE MECANISMOS DE SEGURIDAD
EN PLATAFORMAS LCMS OPEN SOURCE A NIVEL DE AUTENTICACIÓN. Revista Entérese
Boletín Científico Universitario, (27).
Young, E. A.,
Hudson, T. J., & Engelschall, R. S. (2001). OpenSSL. World Wide Web,
http://www. openssl. org/, Last visited, 9.
Seguridad PCs. Consultado en Octubre
del 2015. Recuperado de https://seguridadpcs.wordpress.com/2011/09/06/los-iranies-el-objetivo-real-del-ataque-a-diginotar/
Ataque informático lleva DigiNotar a
la quiebra. Consultado en Octubre del 2015. Recuperado de http://www.welivesecurity.com/la-es/2011/10/07/ataque-informatico-lleva-diginotar-quiebra/
Mónica Tilves, 20 de marzo de 2013,
Descubren una vulnerabilidad que afecta al protocolo de cifrado web HTTPS,http://www.siliconweek.es/security/descubren-una-vulnerabilidad-que-afecta-al-protocolo-de-cifrado-web-https-34394
Mónica Tilves, 6 de agosto de 2013,
1:40 pm, Demuestran cómo hackear el protocolo HTTPS en 30 segundos http://www.siliconweek.es/security/demuestran-como-hackear-el-protocolo-https-en-30-segundos-43945
No hay comentarios:
Publicar un comentario