ASI
Posted on
Etiqueta: SSL
Ciberdelincuentes aprovechan SSL y TLS para ataques
No sólo las organizaciones están implementando la seguridad SSL (Secure Sockets Layer) y TLS (Transport Layer Security) en sus sitios web. También los ciberdelincuentes están aprovechando estas tecnologías para transmitir malware de forma cifrada y evadir su detección. Con base en datos de tráfico de enero a junio de 2017, de la plataforma distribuida de seguridad que opera en la nube, la empresa Zscaler ha dicho que los cibercriminales usan el cifrado de SSL y TLS para disfrazar el malware y evadir las herramientas de detección de seguridad. En promedio el 60 porciento de las amenazas fueron cifradas con SSL/TLS. Leer más…
Nueva versión PCI DSS 3.2
Una nueva versión de la norma PCI DSS (Payment Card Industry – Data Security Standard), la 3.2, fue publicada el pasado 28 de abril por el PCI Security Standards Council (PCI SSC). La nueva PCI DSS 3.2 sustituye a la PCI DSS 3.1, la cual expirará el 31 de octubre de 2016. El Estándar de Seguridad de Datos para la Industria de Tarjeta de Pago es la guía sobre la cual se apoyan las empresas para proteger los datos de pago con tarjeta antes, durante y después de una compra y evitar los fraudes que involucran tarjetas de pago, ya sea de Leer más…
Fix It temporal para Internet Explorer que mitiga ataques POODLE
Fix It desactiva SSL 3.0 para evitar ataque POODLE en IE. Microsoft ha puesto disponible una herramienta Fix It para detener ataques POODLE a Internet Explorer. Microsoft había alertado sobre la vulnerabilidad en SSL 3.0, el protocolo de cifrado de tráfico en Internet y que se encuentra implementado en todas las versiones compatibles de Microsoft Windows, resultando afectados por la vulnerabilidad. Aunque dijo que no había indicios de ataques usando la vulnerabilidad, para Microsoft la vulnerabilidad no es de alto riesgo. Recomendó utilizar TLS 1.0, TLS 1.1 ó TLS 1.2. El atacante puede explotar SSL 3.0 usando un ataque Hombre-En-El-Medio (MITM) Leer más…
Firefox 32 rechazará conexiones a sitios con certificados falsos
La nueva funcionalidad en Firefox 32 es compatible con dominios Mozilla y Twitter. Para prevenir ataques que utilizan certificados de seguridad falsos, Mozilla ha implementado en Firefox 32.0, publicado en esta semana, la funcionalidad Public Key Pinning o Fijación de Llave Pública que permite a los sitios web especificar qué autoridades de certificados (CA) han expedido certificados válidos para ese sitio, y entonces rechazar las conexiones TLS al sitio si el certificado no es emitido por una CA “bien conocida”. La nueva funcionalidad impedirá ataques de Hombre-En-El-Medio (MITM) que utilicen certificados emitidos por una CA que no se encuentre en la lista Leer más…
Fallo en OpenSSL podría permitir ataque de Hombre-en-el-Medio
Un atacante podría descifrar las comunicaciones cifradas con SSL/TLS. El Proyecto OpenSSL ha publicado siete correcciones de seguridad que afectan a la implementación de los protocolos SSL (Secure Sockets Layer), TLS (Transport Layer Security) y DTLS (Datagram Transport Layer Security). La vulnerabilidad más seria (CVE-2014-0224) podría permitir la realización de ataques de Hombre-En-El-Medio (MitM), que es cuando el atacante intercepta las conexiones entre los sistema cliente y servidor objetivos. El atacante intercepta los datos cifrados e intenta descifrarlos forzando a los sistemas cliente SSL a usar llaves débiles expuestas al atacante. Esta vulnerabilidad existe desde la primera versión de OpenSSL y puede ser explotada sólo si Leer más…
Disponible StaffCop v5.0
AtomPark Software ha publicado la versión 5.0 de StaffCop, un producto de software para la seguridad corporativa, la prevención y monitoreo de pérdida de datos. StaffCop Standard v5.0 agrega funcionalidad de bloqueo de sitios web y aplicaciones. Para ello incorpora funciones de listas blancas y listas negras. Con las listas negras se puede prohibir el acceso a sitios web o aplicaciones específicos; en tanto que con las listas blancas se permite el acceso solamente a los sitios web y aplicaciones especificados, todos los otros sitios web y aplicaciones no estarán disponibles para su uso. Además StaffCop 5.0 viene con las Leer más…
Resumen del Boletín de Seguridad de Microsoft de Enero 2012.
Ene 10, 2012. Microsoft ha publicado hoy 7 actualizaciones de seguridad para corregir 8 vulnerabilidades en sistemas Windows y la biblioteca AntiXSS de Microsoft para desarrolladores. Solamente una de las actualizaciones es considerada como de severidad crítica y se requiere su aplicación inmediata. Las siguientes son las actualizaciones publicadas por Microsoft. Severidad Crítica: MS12-004 – Actualización de seguridad para Windows XP, Windows Server 2003, Windows Vista y Windows Server 2008. Resuelve dos vulnerabilidades que podrían permitir la ejecución remota de código si un usuario abre un archivo multimedia especialmente diseñado. Un atacante que aprovechara estas vulnerabilidades podría conseguir el mismo nivel de Leer más…
Ya son 500 los certificados SSL fraudulentos de DigiNotar
En marzo le tocó a Comodo sufrir el robo de certificados SSL; ahora fue el turno de DigiNotar. Resultado del ataque a DigiNotar circulan certificados de seguridad fraudulentos emitidos por los atacantes para engañar a los usuarios de sitios como Google, Yahoo!, Facebook, Microsoft, Skype, AOL, WordPress. Se reporta que inclusive sitios web de las agencias de espionaje estadunidense (CIA), israelí (Mossad) y británica (M-16) están siendo afectados por los certificados fraudulentos. SSL (Secure Socket Layer) es un protocolo de seguridad para la transmisión segura de datos por Internet, entre un servidor y un usuario, o viceversa. El certificado SSL garantiza Leer más…