Ø Antecedentes del tema
Para el desarrollo de la propuesta es
necesario saber a qué nos enfrentamos. A continuación se evidencia los
antecedentes del tema que trataremos en nuestra propuesta.
Incidentes de Seguridad Protocolo HTTPS:
El pasado 20 de septiembre del 2011, DigiNotar, la autoridad holandesa de
emisión de certificados, se ha declarado en bancarrota tras un grave fallo de
seguridad. En un solo ataque se robaron más de 500 certificados, que eran
utilizados para autenticar sitios con conexiones seguras a través de SSL.
El día lunes 7 de abril del 2014, se
descubrió un fallo llamado Heartbleed, que por causa de un error o
vulnerabilidad de software en la biblioteca criptográfica OpenSSL, causa que
atacantes pueden capturar la información de como primera medida de sitios web,
servidores web, servidores de correo (SMTP e IMAP), webmail, plataformas
e-commerce, IM y VPN’s, además de llaves encriptadas, credenciales de inicio de
sesión, bancos y redes sociales.
HTTPS, el protocolo seguro de
transferencia de hipertexto en Internet, ha vuelto a ser hackeado, El ataque
que se sirve de esta recién descubierta vulnerabilidad ha sido reproducido
durante la conferencia de seguridad informática Black Hat y recibe el nombre de
BREACH que, además de significar “brecha” o “violación” se corresponde con
Browser Reconnaissance and Exfiltration via Adaptive Compression of Hypertext,
algo así como reconocimiento y exfiltración de navegador a través de la compresión
adaptativa del hipertexto. Permitiendo a atacantes potenciales robar desde IDs
de usuarios y direcciones de correo electrónico hasta los mismísimos tokens de
autenticación.
Con base en los anteriores incidentes es
necesario optar medidas drásticas en la seguridad y en los certificados con que
cuentan los servidores para así evitar posibles fallas o ataques de personas
ajenas (Piratas), y que la información siempre esté asegurada.
Desde el inicio de internet la seguridad y
fundamentalmente el componente de seguridad es crucial para todo sistema.
(Ortega Martorell, 2015).Los datos
transmitidos en Internet, se dividen en pequeños paquetes que son encaminados a
través de un número infinito de nodos intermedios hasta que alcanzan un
destino.
En cualquiera de este gran camino es
posible leer el contenido de los paquetes, destruirlo e incluso modificarlo,
posibilitando todo tipo de ataques contra la confidencialidad y la integridad
de los datos. En el caso de que se necesite enviar datos confidenciales, la
solución más comúnmente adoptada se basa en la utilización del protocolo
OpenSSL.
Definir que es un ataque, que es una
violación a la seguridad de las claves e información, realizada con fines de
todo tipo que pueden tener acceso físico al sistema sin ningún tipo de
restricción, su objetivo es sustraer información. (Seguridad, 2015)
Hay diferentes formas de realizarlo como:
Bloques de direcciones IP
Localización de sistemas críticos (DNSs,
WINS, DHCPs, Servidores de correo, etc.)
Puntos de acceso para números telefónicos
y VPNs
Información personal y empresarial.
Pero hay tipo de ataques que amenazan las
comunicaciones secretas de tipo:
Tipo pasivo: en este caso el intruso sólo
busca obtener la información y al hacerlo no la cambia, por lo que es difícil
percatarse de que se está siendo atacado.
Tipo activo: Al obtener la información se
modifica de tal modo que sirva a cualquier tipo de intereses y al ser
modificada es más fácil percatarse de que se está siendo atacado.
Estos ataques activos son divididos en dos
tipos:
Ataques a los métodos de cifrado,
realizados con intención de lograr la clave secreta para poder descifrar
libremente cualquier criptograma, para ello se aprovechan las vulnerabilidades
que pudiera tener el método de cifrado.
Y pueden ser de tipo:
·
Ataque con información cifrada
Al
conocer el criptograma y el algoritmo de origen desea tener la información
original.
Conoce
la información original y sus respectivos criptogramas, así mismos su algoritmo
generado, el objetivo es obtener clave secreta y poder desencriptar libremente
cualquier información.
·
Ataque con información cifrada escogida
Se
conoce el algoritmo de cifrado, y criptograma además de la info0rmacion
original, objetivo obtener mensaje en claro de todo criptograma que intercepte.
·
Ataque con información escogida
Conoce
algoritmo de cifrado y criptograma que quiere desencriptar, también conoce
criptograma de un información original en parte que el desee.
·
Ataques a los protocolos criptográficos
(Seguridad,
2015). Aquí se busca obtener la información vulnerando los protocolos
criptográficos, burlar la serie de pasos establecidos para alcanzar los
objetivos de seguridad y que tienen que ser realizados por las entidades
involucradas en cierta comunicación.
·
Ataque con clave conocida
Atacante
sabe de antemano claves utilizadas en cifrados anteriores y con base en ellas
intenta determinar nuevas claves.
·
Suplantación de personalidad
Se
asume la identidad de uno de los agentes autorizados en la red, y de esta
manera obtiene libremente y sin tropiezos todos los mensajes en claro.
·
Compilación de un diccionario
Por
medio de un diccionario guardado en la memoria de la computadora que contiene
contraseñas cifradas de usuarios autorizados en el sistema al ser público aun
pueda estar cifrado, el atacante generar claves aleatorias y después cifrarlas
con el objeto de encontrar alguna contenida en el diccionario.
·
Búsqueda profunda
Generada
aleatoriamente con todos los valores posibles de las claves de acceso y probándolas
hasta que una de ellas sea una clave válida en el sistema.
·
Ataque de hombre en medio
El
intruso puede ingresar a la red de comunicación entre dos pcs o dispositivos en
la red; obtiene la información de uno de ellos y se la envía al otro usuario
una vez que la ha utilizado, de tipo sniffer.
Centrados en el objeto de los antecedentes
se encuentra la vulnerabilidad, en una librería de software de código abierto
llamado OpenSSL que está diseñado para cifrar las comunicaciones entre la
computadora de un usuario y un servidor web, que permite descubrir a un
atacante hasta 64 kB de memoria a un cliente o un servidor conectado,
rellenando el paquete con datos de la memoria RAM, la cual fue denominada
Heartbleed ya que afecta a una extensión de SSL.
Este error existe y persiste a finales del
primer trimestre de 2012 la falla de seguridad en dicho protocolo se determinó
que la vulnerabilidad permite a los hackers robar con facilidad sustraer parte
de datos previamente seguros. Ésta referencia es el estándar para los nombres
de vulnerabilidad de seguridad información. (Secaira, 2015)
De su parte, a inicios del cuarto
trimestre del año 2014, teniendo como referente las vulnerabilidades en las
comunicaciones encriptadas se confirma la falencia en el código, (Secaira, 2015), presentando una nueva
amenaza con la que un atacante puede brindar variables de entorno especialmente
diseñadas que contienen comandos arbitrarios que se ejecutarán en los sistemas
vulnerables bajo ciertas condiciones las cuales han sido denominadas como
vulnerabilidades de inyección código Bash.
Funcionan al conectarse un sitio de web
seguro, de tipo https estableciendo una conexión que configurar la sesión
segura. El navegador solicita y verifica el certificado del sitio, genera una
clave de cifrado para la sesión segura y encripta con la clave pública del
sitio, y el sitio descifra utilizando la clave privada correspondiente
comenzando la sesión.
El navegador solicita datos desde el
sitio, este último devuelve datos hasta la siguiente solicitud.
Revista Publicando, 2(5). 2015, 65-77.
ISSN 1390-9304
Imagen 1.
Funcionamiento general de SSL/TLS Fuente http://idevnote.com/wp-content/uploads/CIFRADO_2.jpg
Así el atacante escoge y busca patrones,
encontrando nada o claves de encriptación, credenciales y mucho más
información, lo, peor este tipo de explotación no deja ningún tipo de rastro,
realmente no podemos decir cuántos datos supuestamente seguro ha sido robado.
Todos los productos que utilizan el Shell
Bash se ven afectados por esta vulnerabilidad por lo que es preciso analizar
los valores de las variables de entorno y sus futuras aplicaciones o fallos
unidos a esta vulnerabilidad.
Ø Propósito u objetivo del estudio
El
propósito del estudio es el análisis de aspectos de seguridad relacionados con
las vulnerabilidades de sitios web, que día tras día, ponen en riesgo la
confidencialidad de la información que circula por la red, con el objetivo de
entrega resultados que les sirvan a las comunidades, compañías y empresas
dedicadas a la publicación de sitios web.
En primera instancia, se pretende obtener
como resultado, el top 5 de las vulnerabilidades que más afectaron en los años
2013 al 2015, los sitios web transaccionales y que facilitaron que la
información que viajaba entre un cliente web y un sitio web, no se hubiera
transportado de forma segura, teniendo como resultado la obtención de
información sensible, por parte de un atacante malicioso, más conocido como
cracker o delincuente informático.
En segunda instancia, queremos obtener
como resultado, cual es el top3 de los mecanismos de cifrado o encriptado de
datos más utilizados entre un cliente web y un servicio web, para los sitios
web que se encentran publicados en la internet.
En tercera instancia, se pretende obtener
como resultado, el top 5 de las empresas de seguridad informática que han
realizado más hallazgos de vulnerabilidades que facilitan a un atacante
malicioso la obtención de información, durante la comunicación entre un cliente
web y un servicio web.
Ø Límites del estudio (marco teórico –
práctico)
Este estudio pretende garantizar las
mejores y mayores políticas de seguridad en la web, que tiene actualmente las empresas, haciendo un
análisis para determinar cuál es el nivel de riesgo que se tiene, y que opciones
se pueden adoptar para mejorar esta misma. Hoy en día toda empresa y más aún
las personas necesita conectividad externa y depende de sus redes informáticas
con el mundo ya sea por su tipo de negocio, exigencia de sus clientes,
comodidad o conectividad, la red de redes comprende una gran fuente de
información pero aún mayor cantidad de peligros.
La protección de la información afecta en
todo ámbito y en todo nivel en su integridad, confidencialidad y autenticidad
ya que es incalculable mente única y exclusiva, con este fin nace un protocolo
de encriptación que es una manera de proteger los datos, con una contraseña
secreta, protegiendo unos de sus bienes más preciados, su información, que
quiere decir esto cifrar con una contraseña los datos o información, para ser
transmitidos en internet.
Un método de encriptación llamado OpenSSl
suministra funciones altas de encriptación a navegadores web como google,
Yahoo!, Facebook por no extender más las paginas organizaciones o empresas que
lo utilizan y que utilizan comunicaciones cifradas a través de la red usando el
protocolo Openssh todo esto creado de una forma abierta y libre, este proyecto
implementa los protocolos de seguridad y crea certificados digitales para un
servidor de tipo apache.
Ø Definición de los términos
MITM:
son las siglas de man in the middle, o en español, ataque de hombre en medio,
el cual se presenta cuando un atacante informático, se pone en medio de una
comunicación entre dos ordenadores para obtener la información que se
encuentran intercambiado.
SSL:
Mecanismo de cifrado desarrollado por openssl, el cual permite cifrar las
comunicación web entre un cliente y un servidor.
VPN:
Mecanismo de cifrado que permite establecer comunicaciones entre un cliente y
un servidor, entre redes públicas o entre redes públicas y privadas.
Cracker:
Persona con altos conocimientos en vulnerabilidades informáticas, aprovecha sus
conocimientos para introducirse en sistema de información con el objetivo de
obtener información privilegiada y afectar su funcionamiento.
Autoridad
certificadora: Es un documento digital único que
garantiza la vinculación entre una persona o entidad con su llave pública.
Cifrado:
El cifrado es el proceso que transforma tu información de manera que no
cualquier usuario pueda entenderla
Sito
web transaccional: Es una página web que permite
intercambiar información entre un cliente y un servidor, un ejemplo puede ser
el correo electrónico.
Ø Supuestos y expectativas del tema
·
Se espera que las investigaciones y
sucesos indagados, puedan servir de ejemplo para las empresas, y tomen en
cuenta esto para sus políticas de seguridad.
·
Poder llegar a fortalecer los niveles de
seguridad con las recomendaciones y mejoras dadas, para que ninguna empresa
pueda verse afectada por alguna vulnerabilidad y posterior ataque.
·
Evitar cometer errores en el proceso, lo
que se busca es mejorar no empeorar la situación.
Ø Importancia del estudio
(justificación)
Es necesario e importante desarrollar este
estudio, ya que por medio de éste, nos permite conocer más a profundidad el
tema de la tecnología y en especial el tema de la seguridad, ya que todos oímos
hablar de la seguridad, pero en realidad, no se sabe cómo se debe implementar y
utilizar en pro de las comunicaciones y seguridad, tanto de las empresas como
de los usuarios entre sí. Además de contribuir con la mejoría de la seguridad,
inclusive podemos llegar a determinar en donde se pueden encontrar nuevas
vulnerabilidades, porque de eso se
trata, no solo llegar y mejorar la seguridad porque sí, hay que entender y
comprender la problemática, ya que cada día, hay nuevas y mejores tecnologías,
que pueden ser utilizadas en contra de otras.
Otra parte importante es la revisión,
identificación, y Corrección de posibles fallos de seguridad en el Protocolo
HTTPS, teniendo en cuenta los incidentes ya presentados, y las soluciones
brindadas ante estos incidentes. Además de las recomendaciones y de
conocimientos sobre seguridad en la web. Realizar políticas específicas de
ajuste con respecto a los cifrados y a los protocolos que estén disponibles
para aplicaciones que utilizan la interfaz SCHANNEL de criptografía en la
seguridad de los canales HTTPS generando una mayor seguridad. Utilizando
adecuadamente las herramientas brindadas para la seguridad en la web, tales
como los certificados, datos encriptados, utilización de protocolos HTTPS, buen
uso de las herramientas informáticas, se contribuirá a minimizar posibles
incidentes en la seguridad, en donde la información se vea afectada.
Ø Aportación a la disciplina, la
escuela o a la carrera
Uno de los aportes, es la mejoría de los
conocimientos que se tiene de este
tema, (la seguridad), ya que el simple
hecho de tener seguridad no garantiza nada, sino hay especificar políticas, que
permiten desarrollarla paulatinamente, y sacarle el 100%.
Incentivar a las personas y empresas a
consultar personas calificadas para este tipo de situaciones, ya que solo no
basta con aplicar la seguridad, sino que como se decía anteriormente, es saber
cómo y qué método será aplicado para ello.
Contribuir con la reducción de los niveles
por decirlo así de ignorancia sobre la seguridad, ya que muchas personas
piensan, que estas situaciones les pasan a las demás y no a ellas, cambiar su
nivel de pensamiento y estar preparadas ante estas y otras situaciones que puede
ocurrir. Nadie está exento de esto.
Ø Diseño de la investigación
(metodología)
Para poder mejorar y revisar el nivel de
seguridad que se tiene, es necesario:
o
Diagnosticar todos los sistemas que usan
HTTPS, para actualizar las versiones instaladas y prevenir este tipo de ataque.
o
Para proteger la transferencia de archivos
sobre HTTPS y servicios de FTP, como podrían ser las actualizaciones de nuevas
páginas por parte de un propietario de una página web o la transmisión de
archivos pesados.
o
Para proteger el tráfico en una intranet
como es el caso de las redes internas, la función compartir archivos, las
extranet o las conexiones a bases de datos.
o
Para proteger los accesos a redes y
cualquier otro tráfico de red con VPNs de SSL como podrían ser los servidores
de acceso VPN o las aplicaciones como Citrix Access Gateway.
o
Generar claves privadas de 2048 bits
o
Revisar cómo están contenidas estas
páginas en su contenido mixto, ya son aquellas que son transmitidas sobre TLS
pero incluyen recursos (JavaScript, imágenes, hojas de estilo) que son
transmitidas de forma insegura (a través de HTTP plano).
o
Verificar el algoritmo utilizado para la
firma y el tipo de mecanismo que utiliza para mantener la información de
revocación (CRL y OCSP), en la encriptación de las páginas web en servidores
HTTPS.
o
Revisión, Verificar el sistema de redes en
la que está presentando la filtración del sistema TCP/IP ,Correo, NFS, puertos
de Netbios, DNS, FTP, HTTP, SMTP, NNTP., en todos los equipos que se vaya a
trabajar en la red.
o
Protección, tener protección firmware en
las máquinas y generar múltiples protección en los códigos SSL.-TLS dentro los
sistemas NetBios, DNS, HTTPS, FTP, SMTP, NNTP.
Esto se debe realizar para garantizar que
la seguridad en la web sea la ideal, y que la información que sea suministrada,
compartida, no sea alterada o interceptada por personas ajenas a esta, y la
utilicen para beneficio propio. Tales como el robo de cuentas bancarias,
contraseñas, información confidencial que únicamente le es útil a su receptor.
Garantizar que la información sea consistente y real. En la investigación que
se realiza de las vulnerabilidades de los protocolos HTTPS, se evidencia muchos
hackers que ingresan sin autorización para la entrega de información a
terceros, que no están autorizados para suministrarla. Por parte del proyecto
debe garantizar políticas de códigos cifrados y protocolos bien estructurados
una la mayor protección, que la información no sea alterada, extraída y
manipulada por personas escrupulosas para ser daño el sistema HTTPS.
En los sitios web. La seguridad en la web
es el principal pilar en donde se realizara, ya que es allí donde los
incidentes anteriormente descritos pueden ocurrir, y es allí en donde se debe
actuar para que estos no ocurran; Por el contrario se refuerce la seguridad,
que se pueda respirar un aire tranquilidad, y sobre todo que el usuario se
sienta seguro al realizar cualquier tipo de acción, en donde se esté manejando
información, y que utilice alguna herramienta en la web.
Las Características apropiada de
establecer el estudio de los componentes de HTTPS, es trabajar sobre los
recursos propios del software y hardware, en la seguridad de sus páginas a
proteger, todo se encuentre bien conectado y asegurado tanto en la máquinas,
switchs, routers, Etc. el usuario se sienta seguro de toda su información
generada en la páginas WEB.
Ø Índice esquemático
Como todo estudio, está dividida en:
1.
Fase
inicial: Comprende temas como (Propósito u objetivo,
definición del estudio, supuestos y expectativas, importancia del estudio)
2.
Fase
de Revisión: Comprende temas como (Antecedentes del
tema, límites del estudio, definición de términos, Diseño de la investigación.).
3.
Fase
Final: Comprende temas como (Aportación a la disciplina,
desarrollo de las expectativas).
El
índice es provisional y estará sujeto a las modificaciones inherentes de
acuerdo con el avance de la investigación.
Referencias
Bibliográficas
Redacción VSAntivirus. (2003). Grave vulnerabilidad
en el manejo del búfer de OpenSSH. Tomado de:
http://www.vsantivirus.com/vul-openssh.htm
Diego, L. V. J., & Alonso, G. G. P. (2009).
VULNERABILIDADES SOBRE MECANISMOS DE SEGURIDAD EN PLATAFORMAS LCMS OPEN SOURCE
A NIVEL DE AUTENTICACIÓN. Revista Entérese Boletín Científico Universitario,
(27).
Young, E. A., Hudson, T. J., & Engelschall, R.
S. (2001). OpenSSL. World Wide Web, http://www. openssl. org/, Last visited, 9.
Aabc tecnología. (2014).Que es Heartbleed Bug? Todo
lo que debes saber del mayor ataque a internet. Tomado de:http://www.abc.es/fotonoticias/fotos-redes/20140410/heartbleed-todo-debes-saber-1612348023393.html
Ivan Ristić(2014) SSL/TLS Deployment Best Practices https://www.ssllabs.com/downloads/SSL_TLS_Deployment_Best_Practices.pdf
Hynek Schlawack(2015) Hardening Your Web Server’s
SSL Ciphers
https://hynek.me/articles/hardening-your-web-servers-ssl-ciphers/
Seguridad PCs. Consultado en Octubre del
2015. Recuperado de https://seguridadpcs.wordpress.com/2011/09/06/los-iranies-el-objetivo-real-del-ataque-a-diginotar/
Ataque informático lleva DigiNotar a la
quiebra. Consultado en Octubre del 2015. Recuperado de http://www.welivesecurity.com/la-es/2011/10/07/ataque-informatico-lleva-diginotar-quiebra/
Mónica Tilves, 20 de marzo de 2013,
Descubren una vulnerabilidad que afecta al protocolo de cifrado web HTTPS,http://www.siliconweek.es/security/descubren-una-vulnerabilidad-que-afecta-al-protocolo-de-cifrado-web-https-34394
Mónica Tilves, 6 de agosto de 2013, 1:40
pm, Demuestran cómo hackear el protocolo HTTPS en 30 segundos http://www.siliconweek.es/security/demuestran-como-hackear-el-protocolo-https-en-30-segundos-43945
Alvarez, B. R. (2004). Avances en criptología y
seguridad de la información. Ediciones Díaz de Santos.
Seguridad, L. d. (10 de 11 de 2015). Fundamentos de
criptografía. Obtenido de
http://redyseguridad.fi-p.unam.mx/proyectos/criptografia/criptografia/
Ortega Martorell, S. &. (10 de 11 de 2015).
PROTOCOLO DE SEGURIDAD SSL. Obtenido de http://rii.cujae.edu.cu/index.php/revistaind/article/viewArticle/122
Secaira, J. I. (2015). NIVELES DE IMPACTO:
HEARTBLEED BUGS VS. BASH BUGS. REVISTA PUBLICANDO, Volumen 2 pagina 5.
No hay comentarios:
Publicar un comentario