Llegamos a ustedes gracias a:



Alertas de Seguridad

Algunas herramientas de inspección HTTPS

Podrían haber debilitado la seguridad

[29/03/2017] Las empresas que usan productos de seguridad para inspeccionar el tráfico HTTPS, podrían inadvertidamente haber hecho que las conexiones cifradas de sus usuarios sean menos seguras y exponerlas a los ataques del tipo 'hombre en el medio', advierte el US Computer Emergency Readiness Team (US-CERT).

El US-CERT, una división del Departamento de Seguridad Nacional, publicó un aviso después de que una encuesta reciente mostrara que los productos de inspección de HTTPS no reflejan los atributos de seguridad de las conexiones originales entre los clientes y servidores.

La inspección HTTPS revisa el tráfico cifrado que viene de un sitio HTTPS para asegurarse de que no contenga amenazas o malware. Se realiza mediante la interceptación de la conexión de un cliente con un servidor HTTPS, estableciendo la conexión en nombre del cliente y luego volviendo a cifrar el tráfico enviado al cliente con un certificado diferente, generado localmente. Los productos que hacen esto esencialmente actúan como proxies de 'hombre en el medio'.

En un ambiente empresarial típico, se puede interceptar y volver a cifrar una conexión HTTPS varias veces: En el perímetro de la red por los productos de seguridad de gateway o los sistemas de prevención de fuga de datos y en los sistemas de punto final por los programas antivirus que necesitan inspeccionar el tráfico en busca de malware.

El problema es que los navegadores de los usuarios ya no validan los certificados verdaderos del servidor, porque esa tarea recae en el proxy de interceptación. Y resulta que los productos de seguridad son bastante malos en la validación de los certificados de servidor.

La razón es que los fabricantes de navegadores han tenido mucho tiempo y la experiencia adecuada para entender las posibles peculiaridades de las conexiones TLS y la validación de los certificados. Sin duda, no hay mejores implementaciones, del lado del cliente, de TLS -el protocolo cifrado utilizado para HTTPS- que las que se encuentran en los navegadores modernos.

Los proveedores de productos de seguridad usan bibliotecas TLS anticuadas, las personalizan e incluso intentan volver a implementar algunas de las características del protocolo, dando como resultado graves vulnerabilidades.

Otro generalizado problema señalado por el US-CERT en su aviso es que muchos productos de interceptación HTTPS no validan correctamente las cadenas de certificados presentadas por los servidores.

"Además, los errores de verificación de las cadenas de certificados pocas veces se reenvían al cliente, lo cual hace que el cliente crea que las operaciones se realizaron según lo previsto con el servidor correcto, afirmó la organización.

En el sitio web de BadSSL, las organizaciones pueden comprobar si sus productos de inspección HTTPS validan los certificados de manera incorrecta o permitan cifrados inseguros. La prueba de cliente de Qualys SSL Labs también puede comprobar la existencia de algunas vulnerabilidades y debilidades TLS conocidas.

El Centro de Coordinación de CERT de la Universidad Carnegie Mellon ha publicado una entrada de blog con más información sobre los errores comunes de interceptación de HTTPS, así como una lista de productos que pueden ser vulnerables.