Hoy en día toda empresa y más
aun las personas necesita conectividad externa y depende de sus redes
informáticas con el mundo ya sea por su tipo de negocio, exigencia de sus
clientes, comodidad o conectividad, la red de redes comprende una gran fuente
de información pero aún mayor cantidad de peligros.
La protección de la
información afecta en todo ámbito y en todo nivel en su integridad,
confidencialidad y autenticidad ya que es incalculable mente única y exclusiva,
con este fin nace un protocolo de encriptación que es una manera de proteger
los datos, con una contraseña secreta, protegiendo unos de sus bienes más
preciados, su información, que quiere decir esto cifrar con una contraseña los
datos o información, para ser transmitidos en internet.
Un método de encriptación
llamado OpenSSl suministra funciones
altas de encriptación a navegadores web como google, yahoo, Facebook por no
extender más las paginas organizaciones o empresas que lo utilizan y que
utilizan comunicaciones cifradas a
través de la red usando el protocolo Openssh todo esto creado de una forma
abierta y libre, este proyecto implementa los protocolos de seguridad y crea
certificados digitales para un servidor de tipo apache.
Pero, un error fue
encontrado, el día lunes 7 de abril
del 2014, ingenieros de google y de la empresa Codenomicon, mostraban
como era posible vulnerar la información de servidores apache y servidores web
y además que los usuarios normales no tenían forma de protegerse, ya que el error
es generado desde la página web y está cifrado para nosotros pero no para el
atacante.
Más tarde los mismos
responsables de Openssl lo ratificaron alarmándose 2/3 de todas las páginas de
internet, este error fue llamado Heartbleed, esta vulnerabilidad es un software
en la biblioteca criptográfica OpenSSL, que realmente causa que atacantes pueden capturar la información de sitios web,
servidores web, servidores de correo (SMTP e IMAP), webmail, plataformas
e-commerce, IM y VPN’s, además de llaves
encriptadas, credenciales de inicio de sesión, bancos y redes sociales.
Esto nos muestra lo vulnerables
al robo de datos personales y empresariales, con sus respectivas contraseñas,
comunicaciones confidenciales y números de tarjetas de crédito.
La realidad es que OpenSSL
es generosamente utilizado, esencialmente no hay servidores que cifren sus
datos localmente y siempre se confiaba en esta biblioteca, por eso su relevancia e importancia en todo ámbito y a
todo nivel de seguridad.
La propia complejidad de la
falla y la dificultad en su detección y corrección agrega múltiples y
variados problemas de
seguridad que van mostrándose.
Por obvias razones las acciones para descubrir este tipo de falla a aumentando de
manera exponencial y las acciones poco
respetuosas de la
privacidad y de
la propiedad de recursos y sistemas aún más por parte de hackers y
crackers.
Es por
ello, que es muy importante abordar este tema de seguridad sobre protocolos ya
que un fallo en el ecosistema certificado HTTPS y por ultimo exposición
de ataques reales que intentaron explotar el bug, puede ser muy costoso a nivel de
productividad, eficiencia, perdida de datos e información valiosa para la
empresa o de secretos para las personas en común, para proteger todo este tipo
de información es recomendable el uso de modelos y/o prototipos dinámicos que
ayuden a la detección de vulnerabilidades y riesgos que puedan existir en la red
de redes y por tanto poder minimizar los mismos.
Referencias Bibliográficas
Redacción VSAntivirus.
(2003). Grave vulnerabilidad en el manejo del búfer de OpenSSH. Tomado de : http://www.vsantivirus.com/vul-openssh.htm
Diego, L. V. J., &
Alonso, G. G. P. (2009). VULNERABILIDADES SOBRE MECANISMOS DE SEGURIDAD EN
PLATAFORMAS LCMS OPEN SOURCE A NIVEL DE AUTENTICACIÓN. Revista Entérese Boletín
Científico Universitario, (27).
Young, E. A., Hudson, T. J.,
& Engelschall, R. S. (2001). OpenSSL. World Wide Web, http://www. openssl.
org/, Last visited, 9.
Aabc
tecnología. (2014).Que es Heartbleed Bug? Todo lo que debes saber del mayor
ataque a internet. Tomado de:http://www.abc.es/fotonoticias/fotos-redes/20140410/heartbleed-todo-debes-saber-1612348023393.html.
Ivan Ristić(2014) SSL/TLS Deployment Best Practices https://www.ssllabs.com/downloads/SSL_TLS_Deployment_Best_Practices.pdf
Hynek Schlawack(2015) Hardening Your Web Server’s
SSL Ciphers
https://hynek.me/articles/hardening-your-web-servers-ssl-ciphers/
Wolf,
G. (2014). Desarrollo seguro de aplicaciones con criptografía.
No hay comentarios:
Publicar un comentario