Les comparto un artículo de mi autoría publicado la semana pasada en la Revista IT Now sobre algunos mitos sobre el cumplimiento de la regulación PCI-DSS.
PCI-DSS es un estándar de seguridad creado por las principales compañías de tarjetas de crédito y débito para proteger los datos de pago. Plantea una serie de requisitos que todas las empresas que operen con tarjetas deben cumplir. Producto de este estándar, en el imaginario de las compañías se han creado algunos mitos sobre su cumplimiento que han sido retratados por el PCI Council bajo el título 10 Common Myths of PCI DSS. En el artículo encontrarán tres de los más representativos basados en la experiencia de campo.
Podés acceder al artículo completo aquí.
El crédito de la imagen pertenece a M. Tallahassee.
¡Bienvenidos a mi Blog! Aquí podrán encontrar información relacionada con la Seguridad de la Información, Normativas y Estándares, Educación y otras yerbas... Espero que lo disfruten.
lunes, 14 de abril de 2014
martes, 8 de abril de 2014
Vulnerabilidad en OpenSSL pone en riesgo la seguridad de las comunicaciones
OpenSSL es un conjunto de librerías critpográficas de código abierto que permiten que los sitios web utilicen SSL (Secure Socket Layer) o TLS (Transport Security Layer) para cifrar las comunicaciones. De esta forma se protege la información que recibimos y enviamos al visitar un sitio web, en especial los datos sensibles, como por ejemplo las credenciales de autenticación (usuario y contraseña).
Un equipo de investigadores descubrió una falla en varias versiones de OpenSSL (The HeartBleed Bug) que permitirían a un atacante robar la información que en condiciones normales estaría protegida. Como parte de las pruebas realizadas por los investigadores, pudieron obtener la clave secreta utilizada en los certificados X.509, nombres de usuarios y contraseñas para distintos servicios (correo electrónico, mensajería instantánea, etc), correos electrónicos enviados y/o recibidos y documentos sensibles transmitidos.
Las versiones de OpenSSL desde la 1.0.1 hasta la 1.0.1f (inclusive) son vulnerables. Una forma de identificar si la vulnerabilidad afecta al servidor es ejecutando en una consola de Linux la siguiente sentencia:
openssl s_client -connect heartbleed.com:443 -tlsextdebug 2>&1 | grep 'server extension "heartbeat" (id=15)' | echo safe
Si aparece la leyenda "safe", el servidor no es vulnerable. En este caso estamos verificando el sitio heartbleed.com, donde los investigadores información sobre la vulnerabilidad en cuestión.
Una forma más sencilla de verificar la existencia de la vulnerabilidad es visitando la página del servicio Test your Server fot HeartBleed y colocando el sitio que queremos chequear. Éste chequea por nosotros si el servidor es vulnerable. En la Figura 1 podemos apreciar nuevamente el resultado para el sitio heartbleed.com.
Un equipo de investigadores descubrió una falla en varias versiones de OpenSSL (The HeartBleed Bug) que permitirían a un atacante robar la información que en condiciones normales estaría protegida. Como parte de las pruebas realizadas por los investigadores, pudieron obtener la clave secreta utilizada en los certificados X.509, nombres de usuarios y contraseñas para distintos servicios (correo electrónico, mensajería instantánea, etc), correos electrónicos enviados y/o recibidos y documentos sensibles transmitidos.
¿Cómo saber si tu sitio web tiene una versión vulnerable de OpenSSL?
Las versiones de OpenSSL desde la 1.0.1 hasta la 1.0.1f (inclusive) son vulnerables. Una forma de identificar si la vulnerabilidad afecta al servidor es ejecutando en una consola de Linux la siguiente sentencia:
openssl s_client -connect heartbleed.com:443 -tlsextdebug 2>&1 | grep 'server extension "heartbeat" (id=15)' | echo safe
Si aparece la leyenda "safe", el servidor no es vulnerable. En este caso estamos verificando el sitio heartbleed.com, donde los investigadores información sobre la vulnerabilidad en cuestión.
Una forma más sencilla de verificar la existencia de la vulnerabilidad es visitando la página del servicio Test your Server fot HeartBleed y colocando el sitio que queremos chequear. Éste chequea por nosotros si el servidor es vulnerable. En la Figura 1 podemos apreciar nuevamente el resultado para el sitio heartbleed.com.
Figura 1 - El sitio heartbleed.com no es vulnerable
¿Cómo corrijo la vulnerabilidad?
El proyecto OpenSSL publicó un boletín de seguridad donde indica que ha liberado la versión 1.0.1g que corrige esta vulnerabilidad. La misma puede descargarse desde el siguiente enlace: https://www.openssl.org/source
La vulnerabilidad está reportada bajo el CVE-2014-0160 y puede obtenerse más información en el sitio oficial The Heartbleed Bug.
Etiquetas:
data protection,
privacidad,
privacy,
security,
seguridad,
seguridad de la información
Suscribirse a:
Entradas (Atom)