Caracasdigital Caracasdigital

  
 RUN RUN TECNOLÓGICO
Bill Gates ha recomendado a sus seguidores dónde invertir el dinero en 2023

06 de enero de 2023.- El famoso fundador de Microsoft, Bill Gates, habilitó en la red socia...Leer más


Movilnet anuncia renovación de su imagen después de 30 años de servicio

Caracas, 05 de enero de 2023.- Movilnet, la empresa de telecomunicaciones móviles del Estad...Leer más


Cantv conectó con fibra óptica al Puente Binacional Atanasio Girardot que enlaza a Colombia y Venezuela

Caracas, 03 de enero de 2023.- La Compañía Anónima Nacional Teléfonos de Venezuela (Cant...Leer más


Banco de Venezuela inaugura nueva oficina en frontera colombo-venezolana

Caracas, 02 de enero de 2023.- El Banco de Venezuela (BDV) ha inaugurado una nueva oficina e...Leer más


Venezuela comenzará a monitorear en tiempo real las operaciones bancarias relacionadas con criptomonedas

Caracas, 29 de diciembre de 2022.- La Superintendencia de Bancos (Sudeban) y la Superintende...Leer más


CES 2023: el epicentro de un mundo conectado

29 de diciembre de 2022.- Cada comienzo de año llega cargado de tecnología, gracias al Con...Leer más


Schneider Electric y SAP colaboran para avanzar en la digitalización industrial

16 de diciembre de 2022.- Schneider Electric y SAP han anunciado hoy que han firmado un memo...Leer más


Llega ChatGpt, la IA que compite con Google

16 de diciembre de 2022.- OpenAi, una fundación de inteligencia artificial creada en 2015 po...Leer más


Bancrecer regaló sonrisas a pacientes infantiles del Hospital Pérez Carreño

Caracas, 15 de diciembre de 2022.- Representantes del Voluntariado Bancrecer acudieron este miérco...Leer más


:::::::::::::::::::::::::::::::: Agregar Nuevo
===================Ver Todo

Opinan los Expertos

Lo que todo CIO debe conocer de su Centro de Datos
Paola Boccia
Directora Ejecutiva de Banesco Banco Universal

Lenovo y la revolución del software
Lorenzo Rubín
Sales & Operations Manager Venezuela, Bolivia, Uru

TECH: Nuestra fiel compañera
Rodolfo Carrano
Vice Presidente Comercial de Directv Venezuela

Rumbo a la era del IPv6
Agustin Speziale
Product Manager, Connectivity, Media & IP Level 3

La Ciudad Digital será el núcleo del progreso y el desarrollo d
Manuel Moreno
Gerente Regional de Marketing para Banda Ancha Ina
===================Ver Todo

DROWN, un ataque presente en Venezuela

La vulnerabilidad de DROWN está presente en más de Miles de equipos en Venezuela


En esta era donde la informática y las telecomunicaciones son la base fundamental para el desarrollo y crecimiento de nuevas tecnologías, que nos permitan estar en un mundo interconectado, casi con la ubicuidad necesaria para estar realizando varias cosas a la vez, atender asuntos laborales, personales y recreacionales desde un mismo dispositivo, utilizando entonces aplicaciones y soluciones que a parte de ayudarnos con la productividad y la recreación, nos deben brindar unos minimos niveles de privacidad basado en esquemas de seguridad.


Cuando los niveles de seguridad no son los más óptimos, aparecen vulnerabilidades, que según definición de Wikipedia:


“Las vulnerabilidades son puntos débiles del software que permiten que un atacante comprometa la integridad, disponibilidad o confidencialidad del mismo. Algunas de las vulnerabilidades más severas permiten que los atacantes ejecuten código arbitrario, denominadas vulnerabilidades de seguridad, en un sistema comprometido”.


Se pueden citar muchos ejemplos de vulnerabilidades, está el caso en que en su casa hay una computadora conectada a Internet, dónde también tiene configurada una cuenta de correo electrónico a través de la que recibe mensajes diariamente. También tiene instalado un antivirus que es capaz de chequear los mensajes electrónicos, incluidos los archivos que están adjuntos. Pero el antivirus lo instalo cuándo compró el equipo hace más de un año y no lo ha vuelto a actualizar así como tampoco el sistema operativo, En este caso su equipo es vulnerable a los virus más recientes que puedan llegar mediante su correo electrónico, ya que el antivirus no está actualizado y no sabe que éstos nuevos virus existen.


A pesar que exista la vulnerabilidad, no es cierto que el equipo se pueda dañar o deje de funcionar en lo inmediato, pero esta brecha le permite a un atacante puede aprovechar este punto débil para comprometer su equipo y toda la información contenida en él, todo lo anterior también es aplicable a dispositivos móviles.


Sobre esto se ha descubierto una vulnerabilidad de protocolos de seguridad cruzados que puede permitir descifrar sesiones TLS (Transport Layer Security) es una evolución del protocolo SSL (Secure Sockets Layer), si el servidor soporta SSL versión 2 o suites de cifrado marcadas como EXPORT, como por ejemplo Bleichenbacher RSA padding oracle.


Decrypting RSA withObsolete and Weakened eNcryption (descifrado de RSA con un cifrado obsoleto y debilitado); esta vulnerabilidad es de gran importancia, según las estimaciones un 33% de los sitios son vulnerables a este ataque, es un problema que afecta HTTPS y otros servicios que utilizan SSL / TLS que todavía soportan el viejo SSLv2 y permiten a un atacante forzar al servidor a utilizar esta versión vulnerable de SSL aunque el usuario este realizando una conexión TLS correctamente verificada.


Es importante saber que el tráfico entre clientes y servidores que no son vulnerables pueden ser descifrados haciendo uso de otro servidor que soporte SSLv2 y exportación de sistemas de cifrado (incluso con un protocolo diferente, como SMTP, IMAP o POP) comparte las claves RSA del servidor no vulnerable.


Haciendo una búsqueda en SHODAN, para Venezuela se consiguen 727,291 equipos indexados.

Imagen 1. Equipos indexados por SHODAN

De las cuales se encontraron servidores con soporte SSLv2 un total de 2,067 equipos, con servicios HTTPS, IMAP, POP3, SMTP.


Imagen 2. Servidores con Soporte SSLv2


Imagen 3. Equipos con Soporte SSLv2


Imagen 4. Ciudades donde hay más servidores con soporte SSLv2


Imagen 5. Proveedores con versiones de SSLv2


Los servicios que más usan esta versión de SSL en Venezuela se distribuyen, de acuerdo a SHODAN:


Imagen 6. Servicios con soporte SSLv2


Imagen 7. Versiones de SSL/TLS en conjunto con SSLv2

La imagen 7, muestra que el protocolo SSLv2, a pesar de haber sido declarado y se recomienda su desuso desde el año 2011. https://tools.ietf.org/html/rfc6176 muchos servicios siguen soportando este protocolo.


Imagen 8. Servidores que Soportan SSLv2


El número de dominios que aún mantiene uso del protocolo SSLv2, se puede apreciar en esta gráfica, de acuerdo a SHODAN.


Imagen 9. Dominios con soporte SSLv2


Sin duda y tomando en cuenta la imagen 7. Se puede observar que; aunque el protocolo SSLv2 fue reemplazado en el año 1996 por SSLv3 y posteriores versiones de TLS; muchos servicios siguen soportando SSLv2 a pesar de ser un protocolo inseguro, esto puede ser por falta de información o concientización sobre las vulnerabilidades asociadas a éste.


Adicionalmente, se observa que proveedores de servicios muy importantes para el país e incluso universidades se encuentran ante la posibilidad de este tipo de ataque DROWN, es importante hacer un llamado para ejecutar un test de seguridad sobre los protocolos de seguridad de las comunicaciones en internet.


Siendo DROWN una vulnerabilidad grave que afecta a HTTPS y otros servicios que dependen de SSL y TLS, algunos de los protocolos criptográficos esenciales para la seguridad en Internet. Estos protocolos permiten que todos en Internet para navegar por la web, utilizar el correo electrónico, tienda en línea, y enviar mensajes instantáneos y sin terceros ser capaz de leer la comunicación.
Entonces DROWN permite a un atacante para romper el cifrado y leer o roban las comunicaciones sensibles, incluyendo contraseñas, números de tarjetas de crédito, los secretos comerciales o datos financieros. Nuestras mediciones indican un 33% de todos los servidores HTTPS son vulnerables al ataque.


¿Cómo puedo proteger a mi servidor?


InteliCorp Seguridad, empresa especializada en productos y servicios en la Seguridad de información y Seguridad informática, y en la ejecución de Pruebas de Penetración y Evaluación y Análisis de Vulnerabilidades, le puede ayudar a su empresa u organización a evaluar la existencia de esta vulnerabilidad y otras con la finalidad de determinar los niveles de Impacto sobre la operación y su negocio. Además de brindarle las recomendaciones para que puedan solucionarlas eficientemente o apoyarlos en el proceso de mitigación de la vulnerabilidad.


Para protegerse contra DROWN, operadores de servidores necesitan asegurarse de que sus claves privadas no se utilizan en cualquier lugar con el software de servidor que permite conexiones SSLv2. Esto incluye servidores web, servidores de SMTP, servidores IMAP y POP, y cualquier otro software que es compatible con SSL / TLS. Se puede utilizar el formulario de arriba para comprobar si el servidor parece estar expuestos al ataque.


SSLv2 incapacitantes puede ser complicado y depende del software de servidor específico. Le proporcionamos instrucciones aquí por varios productos comunes:


OpenSSL: OpenSSL es una biblioteca criptográfica utilizada en muchos productos de servidor. Para los usuarios de OpenSSL, la solución más fácil y recomendada es actualizar a una versión más reciente de OpenSSL. OpenSSL 1.0.2 usuarios deben actualizar a 1.0.2g. OpenSSL 1.0.1 usuarios deben actualizar a 1.0.1s. Los usuarios de las versiones anteriores de OpenSSL deben actualizar a cualquiera de estas versiones. Más detalles se pueden encontrar en esta entrada del blog OpenSSL.


(Actualizado 13 de marzo de 16:00 GMT) Microsoft IIS (Windows Server): Apoyo a SSLv2 en el servidor lado está activado por defecto sólo en las versiones del sistema operativo que se corresponden con IIS 7.0 y IIS 7.5, es decir, Windows Vista, Windows Server 2008, windows 7 y windows Server 2008R2. Este apoyo se puede desactivar en la subclave SSLv2 apropiado para "Servidor", tal como se describe en KB245030. Incluso si los usuarios no han tomado las medidas para desactivar SSLv2, las cifras de exportación de grado y 56 bits que hacen factible AHOGA no están soportados por defecto.


Red de Servicios de Seguridad (NSS): NSS es una biblioteca criptográfica común incorporado en muchos productos de servidor. NSS versiones 3.13 (lanzado en 2012) y por encima de SSLv2 deberían haber desactivado por defecto. (Un pequeño número de usuarios puede haber activado manualmente SSLv2 y será necesario tomar medidas para desactivarlo.) Los usuarios de versiones anteriores deben actualizar a una versión más reciente. Todavía recomendamos comprobar si su clave privada está expuesto en otro lugar, utilizando el formulario de arriba.


Mas información en https://drownattack.com/

DROWN, un ataque presente en Venezuela
Envíe este artículo a un amigo Imprima este artículo   

Comentarios


Comentar



Esta nota/artículo ha sido originalmente publicado por www.caracasdigital.com, el 07 de Junio de 2016..

Caracas Digital no se hace responsable por los juicios de valor emitidos por sus colaboradores y columnistas de opinión y análisis.

Aceptamos colaboraciones previa evaluación por nuestro equipo editorial, estamos abiertos a todo tipo o corriente de opiniones, siempre y cuando a nuestro juicio estén dentro de valores éticos y morales razonables.

Usted puede reproducir, reimprimir, y divulgar este artículo a través de los medios audiovisuales e Internet, siempre que identifique a la fuente original, http://www.caracasdigital.com