Llegamos a ustedes gracias a:



Noticias

Nuevo panel en línea para monitorear calidad del SSL

[02/05/2012] El Trustworthy Internet Movement (TIM), una organización sin fines de lucro formada en febrero para ayudar a enfrentar los problemas de seguridad en Internet, ha presentado su primer proyecto, un panel en línea llamado SSL Pulse que monitorea la calidad del soporte SSL en varios sitios web.
Lanzado en el evento Infosecurity Europe, SSL Pulse está actualmente rastreando un poco menos de 200 mil sitios web con certificados válidos, que representan a la mayoría de sitios SSL en la lista top one million de Alexa. De ellas, solo el 50% obtienen una calificación A y el resto puede usar la mejora, de acuerdo al TIM.
Cualquiera que use SSL Pulse, para revisar si un sitio web tiene una función SSL segura y ver una lista de los sitios con el mejor y peor desempeño.
Durante el evento, Philippe Courtot, fundador del TIM y presidente y CEO de Qualys -cuya tecnología es usada por la plataforma- afirmó que la idea de Pulse no es asustar a las organizaciones que no tienen el estándar sino mejorar el awareness y proporcionar herramientas para que los propietarios de sitios web mejoren sus implementaciones SSL.
SSL promete seguridad, pero si no es manejado apropiadamente le da a los usuarios una falsa sensación de seguridad, sostuvo Courtot. Si todos saben, no hay excusas; cualquier puede ver tu puntuación y puedes revisar cualquier sitio web del planeta en aproximadamente un minuto.
De acuerdo a las cifras actuales de Pulse, solo el 10% de todos los sitios web con SSL se encuentran actualmente seguros. Mientras tanto, el 40% soportan códigos de cifrado débiles o inseguros, y solo el 8% tiene un certificado de Extended Validation.
Ivan Ristic, director de ingeniería de Qualys, afirmó que las cifras serán más significativas una vez que hayan ganado algo de contexto histórico. Sin embargo, resaltó que el 75% de los sitios aún son vulnerables al ataque BEAST.
Courtot desestimó las sugerencias de que la plataforma proporciona un directorio para los hackers, señalando que los hackers ya tienen herramientas similares para revisar sitios web y detectar vulnerabilidades. El ejecutivo afirmó que las organizaciones con pobre soporte SSL son suertudas de que hasta ahora no hayan sido comprometidas, añadiendo que Pulse les ayudaría a mejorar su seguridad.
El tema de la reputación de la marca fue un poco más confuso, aunque Courtot afirmó que hay un foro en donde las organizaciones pueden enviar sus problemas.
Con la nueva plataforma, TIM anunció que había formado una fuerza de trabajo de expertos en seguridad para revisar los problemas conocidos en el gobierno del SSL y para desarrollar nuevas propuestas dirigidas a difundir el SSL en Internet.
La fuerza de trabajo incluye al CISO de PayPal, Michael Barrett; el creador del SSL, Taher Elgamal; el CTO de GlobalSign, Ryan Hurst; el ingeniero de software de Google, Adam Langley; el fundador de Whisper Systems, Moxie Marlinspike; y Ivan Ristic de Qualys.
Hablo con ellos diariamente y veo que buscan una bala de plata, pero la idea de una solución de seguridad perfecta es tonta, no hay tal cosa, sostuvo Elgamal en el lanzamiento.
Los datos que Pulse va a proporcionar a la industria van a ser muy poderosos, y darán a las organizaciones información sobre cómo asegurar sus infraestructuras.
Sophie Curtis, Techworld.com