lunes, 14 de abril de 2014

3 grandes mitos del Cumplimiento de PCI-DSS

Les comparto un artículo de mi autoría publicado la semana pasada en la Revista IT Now sobre algunos mitos sobre el cumplimiento de la regulación PCI-DSS.


PCI-DSS es un estándar de seguridad creado por las principales compañías de tarjetas de crédito y débito para proteger los datos de pago. Plantea una serie de requisitos que todas las empresas que operen con tarjetas deben cumplir. Producto de este estándar, en el imaginario de las compañías se han creado algunos mitos sobre su cumplimiento que han sido retratados por el PCI Council bajo el título 10 Common Myths of PCI DSS. En el artículo encontrarán tres de los más representativos basados en la experiencia de campo.

Podés acceder al artículo completo aquí.



El crédito de la imagen pertenece a M. Tallahassee.

martes, 8 de abril de 2014

Vulnerabilidad en OpenSSL pone en riesgo la seguridad de las comunicaciones

OpenSSL es un conjunto de librerías critpográficas de código abierto que permiten que los sitios web utilicen SSL (Secure Socket Layer) o TLS (Transport Security Layer) para cifrar las comunicaciones. De esta forma se protege la información que recibimos y enviamos al visitar un sitio web, en especial los datos sensibles, como por ejemplo las credenciales de autenticación (usuario y contraseña).

Un equipo de investigadores descubrió una falla en varias versiones de OpenSSL (The HeartBleed Bug) que permitirían a un atacante robar la información que en condiciones normales estaría protegida. Como parte de las pruebas realizadas por los investigadores, pudieron obtener la clave secreta utilizada en los certificados X.509, nombres de usuarios y contraseñas para distintos servicios (correo electrónico, mensajería instantánea, etc), correos electrónicos enviados y/o recibidos y documentos sensibles transmitidos.


¿Cómo saber si tu sitio web tiene una versión vulnerable de OpenSSL?


Las versiones de OpenSSL desde la 1.0.1 hasta la 1.0.1f (inclusive) son vulnerables. Una forma de identificar si la vulnerabilidad afecta al servidor es ejecutando en una consola de Linux la siguiente sentencia:

openssl s_client -connect heartbleed.com:443 -tlsextdebug 2>&1 | grep 'server extension "heartbeat" (id=15)' | echo safe

Si aparece la leyenda "safe", el servidor no es vulnerable. En este caso estamos verificando el sitio heartbleed.com, donde los investigadores información sobre la vulnerabilidad en cuestión.

Una forma más sencilla de verificar la existencia de la vulnerabilidad es visitando la página del servicio Test your Server fot HeartBleed y colocando el sitio que queremos chequear. Éste chequea por nosotros si el servidor es vulnerable. En la Figura 1 podemos apreciar nuevamente el resultado para el sitio heartbleed.com.

Figura 1 - El sitio heartbleed.com no es vulnerable


¿Cómo corrijo la vulnerabilidad?


El proyecto OpenSSL publicó un boletín de seguridad donde indica que ha liberado la versión 1.0.1g que corrige esta vulnerabilidad. La misma puede descargarse desde el siguiente enlace: https://www.openssl.org/source

La vulnerabilidad está reportada bajo el CVE-2014-0160 y puede obtenerse más información en el sitio oficial The Heartbleed Bug.