Archive for “marzo, 2017”

Riesgo de seguridad en productos de intercepción de conexiones HTTPS

Investigadores de la Universidad de Michigan, la Universidad de Illinois Urbana-Champaign, Mozilla, Cloudflare, Google, de la Universidad de California Berkeley y del Instituto Internacional de Ciencias de Cómputo, publicaron el estudio “The Security Impact of HTTPS Interception“ en el que advierten que el uso de soluciones de seguridad y middleboxes para la intercepción de las conexiones HTTPS reduce la seguridad de la conexión e introduce graves vulnerabilidades.

Mientras por un lado se trabaja por endurecer HTTPS para una conexión segura, por el otro los antivirus y middlebox (appliance que manipula el tráfico de red con objetivos distintos al de re-envío de paquetes) interceptan cada vez más las conexiones HTTPS para detectar y bloquear malware que usa conexiones HTTPS a servidores maliciosos.

El CERT de los EEUU ha tomado el informe para alertar que la intercepción HTTPS debilita la seguridad TLS (Transport Layer Security), lo que afecta a todos los sistemas detrás de un producto de interceptación HTTPS.

Muchos productos de inspección HTTPS no verifican correctamente la cadena del certificado del servidor antes de volver a cifrar y re-enviar los datos del sistema cliente, permitiendo la posibilidad de un ataque MiTM (Man-in-The-Middle).

Los errores de verificación de la cadena del certificado se reenvían con poca frecuencia al sistema cliente, haciendo que el sistema cliente suponga que las operaciones se realizaron según lo previsto con el servidor correcto.

El producto de inspección HTTPS debe realizar las validaciones HTTPS necesarias ya que administra los protocolos, cifrados y la cadena del certificado. El fallo en la validación HTTPS o en la transmisión del estado de validación aumenta la probabilidad de que el sistema cliente sea víctima de ataques MiTM por terceros malintencionados.

Las organizaciones que utilizan un producto de inspección HTTPS o middleboxes deben verificar que valide correctamente las cadenas de certificados y transmita cualquier advertencia o error al sistema cliente. Pueden usar https://badssl.com para verificar si el producto de inspección HTTPS valida adecuadamente los certificados y evita las conexiones a sitios que usan criptografía débil. Un resultado que impida la conexión a Internet del sistema cliente será suficiente para rechazar la conexión mediante un producto de inspección HTTPS.

Vault7, la fuga del arsenal hacking de la CIA en WikiLeaks

Wikileaks ha publicado este martes documentos confidenciales de la CIA (Agencia Central de Inteligencia) de los Estados Unidos. Se trata de la mayor publicación de documentos confidenciales de la agencia, fuga que Wikileaks ha bautizado como Vault 7.

Year Zero es la primera parte de Vault 7 e incluye 8,761 documentos y archivos de una red aislada de alta seguridad en el Centro de Inteligencia Cibernética (CCI) de la CIA, en Langley, Virgina. En lo que parece ser el cuartel de hackers de la CIA, el CCI ha producido más de mil sistemas de hacking, troyanos, virus y otro malware, así como sistemas automatizados de ataque y control de malware multi-plataforma que cubren Windows, Mac OS X, Solaris, y Linux.

Según WikiLeaks, la CIA perdió el control de la mayoría de su arsenal de hackers, incluyendo malware, virus, troyanos, exploits día-cero, sistemas de malware de control remoto y documentación asociada. El arsenal pudo haber circulado sin autorización entre hackers y contratistas del gobierno, uno de los cuales proporcionó a WikiLeaks parte del arsenal. La capacidad de hacking de la CIA en manos cibercriminales incidirá sin duda en los ataques cibernéticos a las personas y organizaciones en todo el mundo.

Las herramientas de malware y exploits tienen como objetivo productos de uso popular, como el iPhone de Apple, Android de Google y Windows de Microsoft. Fueron desarrollados numerosos ataques para hackear y controlar de forma remota los teléfonos inteligentes populares, que pueden recibir instrucciones para enviar a la CIA la geolocalización del usuario, las comunicaciones de audio y texto, así como activar de forma encubierta la cámara y el micrófono del teléfono. También desarrollaron técnicas para evadir el cifrado de WhatsApp, Signal, Telegram, Wiebo, Confide y Cloackman antes de que se aplique el cifrado en el dispositivo móvil.

Otro ataque fue desarrollado por la CIA contra los televisores inteligentes Samsung, en el que colaboró el Servicio de Seguridad de Reino Unido. El ataque puede ser utilizado para convertir a los televisores inteligentes Samsung en micrófonos encubiertos.

Para Wikileaks la CIA creó su propia NSA pero con menos responsabilidad y sin tener que responder públicamente por los gastos de su división de hackeo.

Sabíamos que la CIA espía, ahora también hackea y usa código malicioso o malware en sus operaciones encubiertas en todo el mundo.