Daboweb

SSL

[Breves] OS X Mavericks v10.9.3 y Security Update 2014-002

Posted by Destroyer on mayo 15, 2014
[Breves], Sistemas Operativos

MAvericks OS XEstá disponible una nueva versión de Mavericks (v10.9.3)  que además, viene con la segunda actualización de seguridad de 2014 con importantes fallos y vulnerabilidades parcheadas tal y como podéis leer en el anuncio oficial. Como siempre, os recomendamos aplicar el update (requiere reinicio) desde el menú “actualización de software” con brevedad.

Veréis mejoras en conexiones VPN e IPSec, nueva versión de Safari, bugs corregidos en el Kernel, Ruby, SSL, etc.

Tags: , , , , , , , ,

Vulnerabilidad grave en OpenSSL. Versiones afectadas, info y parche para el “Heartbleed bug”.

Posted by Destroyer on abril 08, 2014
Seguridad Informática

Vulnerabilidad OpenSSL / SSL TLS hearbleed bug y parcheActualización: La mayoría de distribuciones están ofreciendo ya parches vía sus repositorios (Debian, Ubuntu, CentOS, etc). Por lo que vía aptitude / apt o yum, ya se pueden aplicar. Podéis comprobar si vuestro servidor es vulnerable desde http://filippo.io/Heartbleed.

Tal y como podemos leer en heartbleed.com, hablamos de una grave vulnerabilidad (CVE-2014-0160) en la popular biblioteca de software criptográfico OpenSSL. Este fallo, permite robar la información protegida bajo condiciones normales, por el cifrado SSL / TLS.

El tema es muy serio ya que SSL / TLS proporcionan una capa de seguridad y privacidad en las comunicaciones en un amplio espectro de Internet: aplicaciones web, pasarelas de pago, accesos a banca electrónica, correo electrónico, mensajería instantánea o algunas redes privadas virtuales (VPN).

El error “Heartbleed” permite a un atacante leer la memoria de los sistemas aparentemente protegidos por versiones vulnerables de OpenSSL. Este tipo de ataque puede comprometer las claves secretas que se utilizan para identificar a los proveedores de servicios y cifrar el tráfico, nombres de usuario y contraseñas, etc. Hablamos de comprometer comunicaciones que al estar usando SSL / TLS ya se entiende que son de naturaleza un tanto críticas caso de ser interceptadas con lo que ello supone.

¿Qué versiones de OpenSSL están afectadas?

OpenSSL 1.0.1 hasta la versión 1.0.1f (inclusive) son vulnerables
OpenSSL 1.0.1g No es vulnerable
OpenSSL rama 1.0.0 No es vulnerable
OpenSSL rama 0.9.8  No es vulnerable

Desde OpenSSL han publicado un parche para esta vulnerabilidad y os recomendamos aplicarlo con urgencia (o recompilar las versiones actuales con la opción: -DOPENSSL_NO_HEARTBEATS)

Tags: , , , , , , , , , , , , , ,

IOS 6.1.6 y 7.0.6 solventan vulnerabilidad en sesiones protegidas por SSL/TLS

Posted by Destroyer on febrero 21, 2014
Sistemas Operativos

Actualizaciones de seguridad IOSApple ha puesto a disposición de los usuarios dos actualizaciones en IOS para dispositivos iPhone 3GS – iPod Touch (cuarta generación), IOS 6.1.6, así como para iPhone 4, 5, 5C, 5S y para el iPod Touch de quinta generación IOS 7.0.6. Ambas actualizaciones solventan una vulnerabilidad que permitiría a un atacante con privilegios en una Red, modificar y capturar datos en sesiones protegidas por SSL/TLS.

Ambas actualizaciones pueden aplicarse vía iTunes o desde el dispositivo (Ajustes, General, “acerca de” y ya podréis ver la actualización).

Del mismo modo, está disponible la misma actualización para Apple TV (6.0.2).

Tags: , , , , , , , , , , , , , , ,

Publicada la lección nº 7 en Crypt4you.”Generación de claves con OpenSSL”.

Posted by Dabo on julio 27, 2012
Cibercultura

Una vez más, tenemos el placer de comunicaros que ya está disponible la lección (de forma gratuita y libre acceso) número 7 en el MOOC Crypt4you de Criptored.

Tal y como podemos leer en el resumen de esta lección:

Esta séptima lección la dedicaremos a presentar el estándar de criptografía OpenSSL y a realizar algunas prácticas con él, generando claves RSA en modo comando y observando sus características. Usaremos, además, los parámetros que nos entrega OpenSSL para usar el teorema chino del resto en el descifrado.

Si deseas ver todas las diapositivas de las 10 lecciones de este curso en formato Power Point animado o bien en pdf, puedes descargar el archivo desde esta dirección.

Para acceder a esta lección, podéis hacerlo desde este enlace. Esperamos ya con ganas la número 8, “Ataque por factorización”.

Tags: , , , , , ,

En Intypedia. Lección 10. Ataques al protocolo SSL

Posted by Dabo on septiembre 30, 2011
Seguridad Informática

Al igual que en anteriores ocasiones, os recomendamos una nueva lección de Intypedia (Enciclopedia de Seguridad de la Información). En este caso, está orientada a los ataques al protocolo SSL, (Interesante también esta información sobre la última vulnerabilidad en SSL y TLS desde Inteco).

Según podemos leer en el resumen de esta lección;

Alicia explica a Bernado los ataques más famosos al protocolo SSL/TLS y como protegerse de ellos. En el vídeo se recomiendan acciones básicas para una navegación más segura utilizando dicho protocolo.

Información de apoyo

Guión [PDF][415KB]
Diapositivas [PDF][134KB]
Ejercicios [PDF][908KB]

Tags: , , , , ,

Nociones teórico-prácticas sobre auditorías de seguridad y SSL.

Posted by Dabo on septiembre 15, 2011
Seguridad Informática

Si hablamos de certificados digitales, a todos nos viene a la memoria el tan nombrado caso de Diginotar del que ya hemos hablado en Daboweb en varias ocasiones. Si hablamos de un protocolo como “SSL (acrónimo de “Secure Sockets Layer“, protocolo de capa de conexión segura), pensaremos en conexiones cifradas, “candados” en la parte superior de la barra de nuestro navegador, en resumen “una conexión segura” ¿o no?.

Hoy os queremos recomendar la lectura de una entrada publicada en el blog de nuestro amigo Sergio Hernando, en la que va más allá del típico resultado que podemos ver en la salida del “scanner” de vulnerabilidades de turno.

Tal y como dice el autor, solemos asociar las conexiones vía “SSL” a aplicaciones web, pero no hay que olvidar por ejemplo el uso masivo que hacemos de “SSL” en la recepción o envio de correo electrónico (aunque hoy en día, seguramente esa conexión ya sería vía “TLS“, una implementación mejorada del protocolo “SSL“), programas de mensajería instantánea, aplicaciones VoIP (voz sobre IP), etc.

Por lo que si hablamos de auditorías de seguridad, todo lo que vaya cifrado bajo “SSL“, debería ser auditado de la forma más minuciosa posible para evitar ataques en los que, la suplantación de identidad, junto a la posible captura de unos datos que “presuntamente” viajan por la red bajo una capa de cifrado, pueden resultar devastadores en los sistemas comprometidos.

Acceso a; Principios teóricos y prácticos de auditoría SSL.

Tags: , , , , , , , , , ,

Protocolo SSL, Intypedia

Posted by Destroyer on julio 17, 2011
Seguridad Informática

Se encuentra disponible en Intypedia, la enciclopedia de la Seguridad de la Información, un nuevo capítulo o lección en vídeo titulado: Introducción al protocolo SSL.

En el vídeo, que dura alrededor de 18 minutos y se compone de cuatro escenas, “Alicia y Bernardo nos explican los  fundamentos  del  protocolo criptográfico SSL/TLS. Un protocolo de vital importancia en el comercio electrónico y en las redes privadas virtuales seguras.

ESCENA 1.
Orígenes de SSL. Ataques a la identidad e integridad de los datos.

ESCENA 2.
Funcionamiento de SSL. SSL Handshake Protocol.

ESCENA 3.
Aplicaciones del protocolo SSL. Comercio electrónico y VPNS

ESCENA 4.
Seguridad del protocolo SSL.

♦ Ver el vídeo.

♦ Descargar el guión en formato PDF.

Tags: , , , ,