OpenSSL recibe una importante actualización de seguridad

Photo by Markus Spiske on Unsplash

Los responsables del proyecto OpenSSL, paquete de herramientas de administración y bibliotecas que suministran funciones criptográficas a otros paquetes como OpenSSH, y pieza fundamental de las implementaciones de protocolos de transferencia seguro (como SSL o TLS), han publicado hace pocas horas una serie de actualizaciones de seguridad, incluyendo algunas de caracter crítico. Las versiones 1.0.1, 1.0.0 y 0.9.8 de OpenSSL deben ser actualizadas inmediatamente a 1.0.1k, 1.0.0p y 0.9.8zd respectivamente. Por su parte, la versión 1.0.2 debe ser actualizada a la 1.0.2a. Entre las actualizaciones se soluciona una vulnerabilidad que podría permitir que atacantes intercepten comunicaciones seguras (“man-in-the-middle attack”) y otra que podría permitir ataques de denegación de servicio (DDos). Se recomienda a todos …

Read moreOpenSSL recibe una importante actualización de seguridad

GHOST, la primer gran vulnerabilidad del 2015

Photo by Markus Spiske on Unsplash

Qualys, firma internacional de seguridad informática, publicó hace algunas horas los detalles acerca de una antigua vulnerabilidad conocida como GHOST y registrada en la base de CVE (Vulnerabilidad y exposiciones comunes, por sus siglas en inglés) bajo el número 2015-0235. GHOST, quien recibe su nombre del método GetHostByName, fue introducido originalmente en la librería glibc-2.2 que data de noviembre del año 2000 y corregido en mayo de 2013 (en las librerías glibc-2.17 y glibc-2.18). Sin embargo no fue tratado como una brecha de serguridad, por lo que un gran porcentaje de las distribuciones de Linux alrededor del mundo continúan afectadas …

Read moreGHOST, la primer gran vulnerabilidad del 2015

Todo lo que necesitas saber acerca de POODLE

Photo by Markus Spiske on Unsplash

Hace algunos días fue confirmada una vulnerabilidad de la que se habían oído rumores tiempo atrás. Se trata de POODLE (Padding Oracle On Downgraded Legacy Encryption, por sus siglas en inglés), un fallo en el protocolo SSL 3.0 que podría permitir ataques del tipo MitM (Man in the Middle) en los que un atacante podría leer y modificar la información intercambiada entre dos equipos sin generar ninguna sospecha.

El fallo, registrado bajo el identificador CVE-2014-3566, fue descubierto por Bodo Möller, Thai Duong and Krzysztof Kotowicz del equipo de Seguridad de Google y publicado en el blog de la compañía.

Si bien la vulnerabilidad no es tan seria como sí lo fueron Heartbleed o Shellshock, debe ser tenida en cuenta y mitigada por los administradores de sistemas. SSL 3.0 ya cumplió 18 años, pero aún es utilizado por los navegadores para “escapar” de algunos errores que impedirían el correcto uso de protocolos más recientes. De esta manera, un atacante podría forzar el uso de SSL 3.0 para explotar sus deficiencias.

Usuarios hogareños

Para el caso de los usuarios hogareños u organizaciones que quieran proteger a sus usuarios de esta vulnerabilidad y evitar que un atacante intercepte la información intercambiada con un servidor que aún no ha mitigado el fallo, alcanza con deshabilitar el protocolo SSL 3.0 en los navegadores de internet.

Read moreTodo lo que necesitas saber acerca de POODLE

Llegó la hora de reemplazar los certificados SSL con cifrado SHA-1

Photo by Markus Spiske on Unsplash

Han pasado casi 20 años (19 para ser precisos) desde que se publicara la versión 1 de SHA, el algoritmo de cifrado más utilizado en el mundo y con el que operan la gran parte de los certificados SSL de la web.

SHA-1 es un método de cifrado desarrollado por la Agencia Nacional de Seguridad de los Estados Unidos (NSA, por sus siglas en inglés) y es considerado un estándar federal en el procesamiento de la información para el gobierno de aquel país. El método de salida de SHA-1 produce un valor de hash seguro de 160 bits (20 bytes), equivalente a un número hexadecimal de 40 dígitos de longitud.

En el año 2005 fueron publicadas dos investigaciones en las que se demostraron grandes debilidades en este mecanismo. Sucede que los hashes tienen un enemigo natural llamado “colisiones”. Las colisiones son la posibilidad de encontrar mediante ataques de fuerza bruta un identificador que no sea único, es decir, que un mismo SHA-1 represente a dos flujos de datos entrantes diferentes.

Por definición podríamos decir que existe 1 posibilidad en 1208925819614629174706176 (280) de generar colisiones en SHA-1. Sin embargo, a principios de 2005 un grupo de investigadores chinos redujo la cantidad de intentos a 269. Tiempo más tarde se avanzó hasta 263 y, finalmente, en la Universidad de Macquarie (Australia) lograron reducirlo hasta 252 (cerca de 2000 veces más rápido de lo esperado).

Como consecuencia de esto, el CA/Browser Forum recomendó en el año 2011 comenzar a abandonar SHA-1 tan pronto como sea posible. De hecho, el gobierno de los Estados Unidos dejó de utilizar este mecanismo en el 2010.

Acerca de SHA-2

Read moreLlegó la hora de reemplazar los certificados SSL con cifrado SHA-1

Almacenamiento en línea – ¿Cómo elegir?

Photo by Markus Spiske on Unsplash

La posibilidad de acceder a nuestros archivos desde cualquier parte del mundo, sin necesidad de una computadora y sin tener que poner atención en los riesgos que implica almacenar la información en pendrives o discos externos, es cada vez más deseada. Hoy en día existen cientos de compañías que ofrecen almacenamiento en línea o en la nube con ofertas de funcionalidades y precios muy variadas.

Resulta dificil decidir qué servicio elegir, pero a continuación les dejo una comparativa de los más populares y los factores a tener en cuenta a la hora de contratar:

OneDrive

Quien fuera recientemente renombrado tras un litigio comercial con una compañía británica, es propiedad de Microsoft y uno de los preferidos por los usuarios. Ofrece 15 GB de almacenamiento gratuito y una gran variedad de aplicaciones compatibles con las plataformas más populares del mercado.

Sus planes de pago comienzan en los 100 GB de almacenamiento por apenas 2 dólares al mes y se pueden combinar con otras suscripciones de la compañía. Por ejemplo, adquiriendo una suscripción de Office 365 Personal o Home Premium accedemos a 1 TB de almacenamiento adicional espacio de almacenamiento ilimitado.

Read moreAlmacenamiento en línea – ¿Cómo elegir?

Qué es HSTS y cómo implementarlo para incrementar la seguridad de mi sitio

Photo by Markus Spiske on Unsplash

Desde que Google anunciara días atrás que subiría el ranking de búsqueda a los sitios que utilicen HTTPS, múltiples han sido las webs que comenzaron a hacer pruebas con el protocolo de transferencia seguro.

En esta edición vamos a trabajar sobre HSTS, una política o mecanismo de seguridad estandarizado que anuncia a los navegadores cuándo una web (y todos sus enlaces) deben ser accedidos exclusivamente utilizando HTTPS.

HSTS significa, por sus siglas en inglés, HTTP Strict Transport Security y sus detalles están especificados en el RFC 6797. Su principal objetivo es impedir que un atacante convierta una conexión HTTPS en HTTP. El mecanismo instruye al UA (user agent o navegador del usuario) a finalizar la conexión con el servidor de destino si ocurre algún error mientras intenta establecer una comunicación segura (SSL/TLS), incluyendo certificados revocados. Además, todos los enlaces de la página se visualizarán como HTTPS inluso si no fueron creados de esa manera.

 

HSTS envía un mensaje al navegador del usuario que podría ser interpretado como: “¡Hola! Toda nuestra comunicación debe ser encriptada, caso contrario tendrás que mostrar un mensaje de error.”

Read moreQué es HSTS y cómo implementarlo para incrementar la seguridad de mi sitio

Internet Explorer 6 sigue teniendo cerca del 4% del mercado

Photo by Markus Spiske on Unsplash

Internet Explorer 6, navegador que fuera oficialmente lanzado el 27 de Agosto de 2001, sigue estando presente en el mercado de los navegadores. Según estadísticas brindadas por Microsoft, China lidera la lista de países que aun utilizan este navegador (12,5%), seguida por Rusia (1,6%) e India (1%). La versión 6 de Internet Explorer introdujo mejoras respecto al tratamiento de DHTML (Dynamic HTML, por sus siglas en inglés), integración con Windows Messenger, barra multimedia, y algunas mejoras de seguridad respecto a sus antecesores. Sin embargo, hoy ya es completamente obsoleto y ha dejado de recibir actualizaciones de seguridad de su fabricante, …

Read moreInternet Explorer 6 sigue teniendo cerca del 4% del mercado

Cómo proteger mi sitio de WordPress con SSL

Photo by Markus Spiske on Unsplash

Hace algunos días anunciábamos los cambios que está implementando Google en su motor de búsqueda, relacionados con la idea de “subir” el ranking de los sitios que trabajen bajo un protocolo de navegación seguro (SSL/TLS) en los resultados de búsqueda.

Esto, sumado a los acontecimientos que en los últimos meses han demostrado la necesidad de tomar mayores recaudos a la hora de hablar de seguridad en Internet, nos lleva a evaluar diferentes alternativas para proteger nuestra información. En este post les ayudaré a implementar un certificado de seguridad (SSL/TLS) en un sitio de WordPress self-hosted.

WordPress.com no soporta el uso del HTTPS en dominios personalizados. Sin embargo, sí lo permite en aquellos blogs con dominio finalizado en wordpress.com. Más info aquí.

TLS (Transport Layer Security, por sus siglas en inglés) es uno de los protocolos de cifrado de información comunmente utilizados en Internet para proteger los datos enviados entre dos equipos. Más conocido como “HTTPS” o “HTTP con candado”, TLS y SSL, su antecesor, permiten a los usuarios asegurarse que los datos que intercambian en un sitio web viajan de manera segura y no puedan ser interceptados por usuarios malintencionados.

Hosting y SSL

Read moreCómo proteger mi sitio de WordPress con SSL

Google subirá el ranking de los sitios que usen HTTPS

Photo by Markus Spiske on Unsplash

Versión en inglés disponible aquí / English version available here

Gary Illyes y Zineb Ait Bahajji, del equipo de análisis de tendencias de Google, publicó el día de ayer una información en el blog de seguridad de la compañía, donde aseguran que aquellos sitios que no trabajen bajo TLS (Transport Layer Security, por sus siglas en inglés) verán reducido su ranking en los resultados de búsqueda, en comparación con aquellos que utilicen HTTPS.

“La seguridad es una de nuestras principales prioridades”, asegura el comunicado en el que la compañía con sede en California dio más detalles sobre este cambio. Con el objetivo de mejorar la experiencia y la seguridad de los usuarios, Google comenzó semanas atrás a realizar pruebas con el ranking de sus resultados de búsqueda.

TLS, o Transport Layer Security por sus siglas en inglés, es uno de los protocolos de cifrado de información comunmente utilizados en Internet para proteger los datos enviados entre dos equipos. Más conocido como “HTTPS” o “HTTP con candado”, TLS y SSL, su antecesor, permiten a los usuarios asegurarse que los datos que intercambian en un sitio web viajan de manera segura y no puedan ser interceptados por usuarios malintencionados.

Las pruebas indican que, hasta el momento, solo el 1% de las consultas globales se han visto afectadas por este cambio, ya que su aplicación no tiene tanto peso como las reglas de calidad de contenido. Google espera comenzar a darle más prioridad con el correr de las semanas, otorgando a los administradores de web algo de tiempo para afrontar el cambio.

En las próximas semanas el equipo de Google estará publicando más detalles sobre las mejores prácticas para la adopción de mecanismos de seguridad en la web, pero dejan las siguientes recomendaciones para evaluar de manera efectiva el pasaje a TLS:

Read moreGoogle subirá el ranking de los sitios que usen HTTPS

WordPress.com vs. WordPress.org – ¿Cuál elegir?

Photo by Markus Spiske on Unsplash

wordpress-com-vs-wordpress-orgWordPress es, sin dudas, la plataforma de blogging por excelencia. Elegida por usuarios principiantes, experimentados, emprendedores y grandes empresas, ha sabido ganar terreno en su rubro.

La compañía, fundada por Matt Mullenweg, posee dos versiones de su plataforma de administración de contenidos (CMS, por sus siglas en inglés). Hoy vamos a compararlas para ayudarles en la elección de su destino en la web.

Su versión administrada (WordPress.com) ofrece un servicio similar al de Blogger, la plataforma de Google. Permite comenzar con un blog alojado en los servidores de la compañía y tanto el alojamiento como la puesta en marcha son gratuitos. Tiene tres planes:

WordPress.com gratuito

  • El blog será accesible a través de un dominio terminado en wordpress.com. Por ej.: http://pablofain.wordpress.com.
  • Los usuarios más avanzados y empresas pueden optar por adquirir un dominio personalizado (como www.pablofain.com) a través de WordPress, cuyo costo es de 25 dólares al año, o utilizar un dominio previamente registrado por apenas 13 dólares al año.
  • Los temas y personalizaciones están limitados, y los usuarios pueden acceder a temas premium (con costo adicional).
  • El límite de almacenamiento es de 3 GB, aunque se puede adquirir espacio adicional desde 20 dólares al año los 10 GB.
  • No ofrece almacenamiento de videos en su plan gratuito, pero puede agregarse la funcionalidad VideoPress por 60 dólares al año.
  • Las entradas de blog pueden mostrar publicidad a los visitantes no registrados. Para ocultarla es necesario abonar 30 dólares al año.
  • Copias de seguridad periódicas, sin costo adicional.
  • Autenticación de dos pasos opcional, sin costo adicional.

WordPress.com Premium (99 dólares al año cada blog)

Read moreWordPress.com vs. WordPress.org – ¿Cuál elegir?