ASI
Posted on
Etiqueta: TLS
Ciberdelincuentes aprovechan SSL y TLS para ataques
No sólo las organizaciones están implementando la seguridad SSL (Secure Sockets Layer) y TLS (Transport Layer Security) en sus sitios web. También los ciberdelincuentes están aprovechando estas tecnologías para transmitir malware de forma cifrada y evadir su detección. Con base en datos de tráfico de enero a junio de 2017, de la plataforma distribuida de seguridad que opera en la nube, la empresa Zscaler ha dicho que los cibercriminales usan el cifrado de SSL y TLS para disfrazar el malware y evadir las herramientas de detección de seguridad. En promedio el 60 porciento de las amenazas fueron cifradas con SSL/TLS. Leer más…
Riesgo de seguridad en productos de intercepción de conexiones HTTPS
Investigadores de la Universidad de Michigan, la Universidad de Illinois Urbana-Champaign, Mozilla, Cloudflare, Google, de la Universidad de California Berkeley y del Instituto Internacional de Ciencias de Cómputo, publicaron el estudio “The Security Impact of HTTPS Interception“ en el que advierten que el uso de soluciones de seguridad y middleboxes para la intercepción de las conexiones HTTPS reduce la seguridad de la conexión e introduce graves vulnerabilidades. Mientras por un lado se trabaja por endurecer HTTPS para una conexión segura, por el otro los antivirus y middlebox (appliance que manipula el tráfico de red con objetivos distintos al de re-envío de paquetes) interceptan Leer más…
Nueva versión PCI DSS 3.2
Una nueva versión de la norma PCI DSS (Payment Card Industry – Data Security Standard), la 3.2, fue publicada el pasado 28 de abril por el PCI Security Standards Council (PCI SSC). La nueva PCI DSS 3.2 sustituye a la PCI DSS 3.1, la cual expirará el 31 de octubre de 2016. El Estándar de Seguridad de Datos para la Industria de Tarjeta de Pago es la guía sobre la cual se apoyan las empresas para proteger los datos de pago con tarjeta antes, durante y después de una compra y evitar los fraudes que involucran tarjetas de pago, ya sea de Leer más…
Logjam: Ataque a las conexiones seguras en servidores y navegadores web
Un estudio realizado por científicos de cómputo revela que el ataque Logjam permite la degradación del protocolo TLS, permitiendo que un atacante MITM (Man-In-The-Middle) rebaje las conexiones TLS vulnerables a criptografía de grado de exportación de 512 bits y entonces el atacante pueda leer y modificar los datos pasados por la conexión. Se trata de una falla en el protocolo TLS, no de una vulnerabilidad de implementación. Ataca el intercambio de llaves Diffie-Hellman más que el intercambio de llaves RSA. El ataque afecta a servidores compatibles con cifrado DHE_EXPORT y a todos los navegadores web modernos. De entrada los investigadores dicen que Leer más…
Fix It temporal para Internet Explorer que mitiga ataques POODLE
Fix It desactiva SSL 3.0 para evitar ataque POODLE en IE. Microsoft ha puesto disponible una herramienta Fix It para detener ataques POODLE a Internet Explorer. Microsoft había alertado sobre la vulnerabilidad en SSL 3.0, el protocolo de cifrado de tráfico en Internet y que se encuentra implementado en todas las versiones compatibles de Microsoft Windows, resultando afectados por la vulnerabilidad. Aunque dijo que no había indicios de ataques usando la vulnerabilidad, para Microsoft la vulnerabilidad no es de alto riesgo. Recomendó utilizar TLS 1.0, TLS 1.1 ó TLS 1.2. El atacante puede explotar SSL 3.0 usando un ataque Hombre-En-El-Medio (MITM) Leer más…
Fallo en OpenSSL podría permitir ataque de Hombre-en-el-Medio
Un atacante podría descifrar las comunicaciones cifradas con SSL/TLS. El Proyecto OpenSSL ha publicado siete correcciones de seguridad que afectan a la implementación de los protocolos SSL (Secure Sockets Layer), TLS (Transport Layer Security) y DTLS (Datagram Transport Layer Security). La vulnerabilidad más seria (CVE-2014-0224) podría permitir la realización de ataques de Hombre-En-El-Medio (MitM), que es cuando el atacante intercepta las conexiones entre los sistema cliente y servidor objetivos. El atacante intercepta los datos cifrados e intenta descifrarlos forzando a los sistemas cliente SSL a usar llaves débiles expuestas al atacante. Esta vulnerabilidad existe desde la primera versión de OpenSSL y puede ser explotada sólo si Leer más…
Resumen del Boletín de Seguridad de Microsoft de Enero 2012.
Ene 10, 2012. Microsoft ha publicado hoy 7 actualizaciones de seguridad para corregir 8 vulnerabilidades en sistemas Windows y la biblioteca AntiXSS de Microsoft para desarrolladores. Solamente una de las actualizaciones es considerada como de severidad crítica y se requiere su aplicación inmediata. Las siguientes son las actualizaciones publicadas por Microsoft. Severidad Crítica: MS12-004 – Actualización de seguridad para Windows XP, Windows Server 2003, Windows Vista y Windows Server 2008. Resuelve dos vulnerabilidades que podrían permitir la ejecución remota de código si un usuario abre un archivo multimedia especialmente diseñado. Un atacante que aprovechara estas vulnerabilidades podría conseguir el mismo nivel de Leer más…