Conexiones SSL ¿seguras o vulnerables? Compruébalo mediante test online

Las conexiones SSL cada vez son más importantes para proteger la información que enviamos a través de Internet y evitar que esta pueda ser capturada en un punto intermedio entre nuestro ordenador de origen y el servidor de destino. Aunque muchas páginas web utilizan ya este protocolo, no todas las configuraciones son igual de seguras y aunque pensemos que nuestro tráfico está siendo protegido es posible que piratas informáticos, organizaciones u otros elementos puedan estar controlándolo.

Free SSL Test Server es una plataforma online, totalmente gratuita, que nos va a permitir comprobar la seguridad de las conexiones SSL de un servidor concreto, tanto por dominio (una web, por ejemplo) como por dirección IP.

Esta plataforma web lleva a cabo 4 tipos de tests diferentes:

•   Prueba de cumplimiento de las reglas NIST.

•   Prueba de cumplimiento de los requisitos PCI DSS.

•   Prueba de comportamiento frente a las debilidades y vulnerabilidades más recientes de SSL/TLS.

•  Prueba de diferente contenido de terceros que pueda comprometer la seguridad de las conexiones.

El uso de la plataforma es muy sencillo. Lo único que debemos hacer es acceder a su página web e introducir en ella el servidor con conexión SSL que queremos analizar. Si no queremos que nuestro análisis se guarde debemos marcar la opción que aparece debajo el cuadro de búsqueda.

Una vez elegido comenzamos el análisis, el cual puede durar un par de minutos en completarse según la carga de trabajo de los servidores de Free SSL Test Server. Una vez finalice el análisis podemos ver en la web un resumen del mismo y descargar los resultados en formato PDF para analizarlos con calma en nuestro ordenador y poder llevar a cabo las tareas de mantenimiento correspondientes. 

Como podemos ver, esta plataforma nos indicará, en primer lugar, si la conexión tiene posibles vulnerabilidades conocidas, analizará todos los aspectos importantes de la conexión SSL, nos mostrará toda la información relacionada con el certificado y nos indicará si tiene debilidades o si cumple correctamente con las reglas y requisitos de las diferentes organizaciones como NIST. 

La plataforma también nos permite ver los últimos análisis que se han realizado (siempre que no se haya marcado de opción de ocultar resultados durante la búsqueda) así como las notas que ha obtenido cada plataforma.

Como podemos ver, Free SSL Test Server es una completa plataforma que nos va a permitir comprobar hasta qué punto son seguras las conexiones que enviamos a través de los diferentes protocolos de Internet y, si somos los administradores de un servidor, conocer estas vulnerabilidades e intentar solucionarlas lo antes posible para garantizar la seguridad de los datos de los usuarios. 

Link de la web que presta este servicio:  https://www.htbridge.com/ssl/

Saludos!

Adobe Flash podría poner en riesgo tu PC y todavía no hay parche

Quizás eres uno de los muchos millones de personas que usan Adobe Flash en su computadora. Quizás estás al tanto de los muchos agujeros de seguridad que regularmente se encuentran en Flash y lo actualizaste debidamente esta semana cuando Adobe lanzó múltiples actualizaciones de seguridad, muchas de las cuales fueron categorizadas como críticas.

Quizás piensas que tu computadora está a salvo de atacantes que pudieran explotar fallas en Flash por un tiempo, ya que estás utilizando la última versión (19.0.0.207) del producto. Pero no es así.

Apenas unas horas después de lanzar su conjunto de parches regular, Adobe publicó otro boletín de seguridad advirtiendo sobre una vulnerabilidad crítica que está siendo explotada en forma activa por cibercriminales, para instalar malware en computadoras de sus blancos.

Una vulnerabilidad crítica (CVE-2015-7645) ha sido identificada en Adobe Flash Player 19.0.0.207 y versiones anteriores para Windows, Macintosh y Linux. La explotación exitosa podría causar un colapso y potencialmente permitir a un atacante tomar control del sistema afectado.

Adobe tiene conocimiento de un reporte de que un exploit para esta vulnerabilidad está siendo usado en ataques limitados y dirigidos. Adobe espera poner a disponibilidad una actualización la semana del 19 de octubre.

 

Se cree que el grupo que está explotando la falla es Pawn Storm, cuyos miembros secretos han estado realizando una sofisticada campaña de malware que tiene como blanco a organizaciones gubernamentales, militares y periodísticas de los Estados Unidos, Ucrania y alrededor de Europa.

La banda típicamente manda correos electrónicos cuidadosamente diseñados a sus víctimas elegidas, con documentos de Word tramposos adjuntos, o atrae a las más desprevenidas para que visiten sitios envenenados con exploit kits que apuntan a navegadores web desactualizados.

Según investigadores de Trend Micro, la última campaña de Pawn Storm tuvo como blanco a varios ministerios de relaciones internacionales, enviando mails apuntando a páginas web que contenían el exploit para Flash. Los correos pretenden ser sobre asuntos de coyuntura; aquí hay algunos ejemplos de asuntos utilizados:

• “Coche bomba suicida apunta a convoy de la OTAN de tropas de Kabul“
• “Las tropas sirias hacen ganancias mientras Putin defiende ataques aéreos“
• “Israel lanza ataques aéreos contra objetivos en Gaza“
• “Rusia advierte de respuesta a la acumulación nuclear de Estados Unidos en Turquía, Europa”
• “Militares de EE.UU. reporta que 75 rebeldes entrenados por Estados Unidos regresan a Siria“

Claramente, el grupo Pawn Storm tiene a blancos particulares en la mira, y está enfocado en espiar y robar información de sistemas gubernamentales y militares comprometidos. La banda ha tenido algunos “grandes éxitos” en el pasado, habiendo estado implicada en una brecha de seguridad en la Casa Blanca.

También tiene los recursos para dejar al descubierto nuevas vulnerabilidades zero-day; así como esta falla en Flash, por ejemplo, se encontró este año que estaba explotando el primer zero-day en Java que se había descubierto en varios años.

Esto resultó en que muchas personas creyeran que Operation Pawn Storm es un ejemplo de cibercrimen apoyado por el Estado. Pero aunque no trabajes para un gobierno, la milicia, una organización de medios… aunque no seas un activista político que ha causado algo de revuelo… tiene sentido que mantengas tus sistemas protegidos y ejecutando la última versión de todo el software.

Desafortunadamente para los usuarios de computadoras, la vulnerabilidad está presente en la última versión de Adobe Flash Player, 19.0.0.207, así como en las anteriores para Windows y Macintosh. Perdón, amantes de Linux, también está en Flash 11.2.202.535 y anteriores para su plataforma.

Una medida que podrías tomar es considerar desinstalar por completo Flash de tu computadora. Esa es una decisión que muchos están empezando a tomar, pero sospecho que la mayoría no están del todo listos para hacerlo.

Como alternativa, considera habilitar “click to play” en tu navegador.

Con esta función habilitada, tu navegador no reproducirá contenido Flash potencialmente malicioso a menos que y hasta que le des permiso específico. En otras palabras, un archivo Flash con código malicioso no se ejecutará a menos que lo autorices, en vez de reproducirse en forma automática cuando visitas una página web.

Ten en cuenta que Flash también está integrado en Adobe AIR y Shockwave, y por lo tanto ambos pueden ser vulnerables a ataques. En el caso de Shockwave, ya casi no se usa, pero muchas personas todavía lo tienen acechando en sus computadoras. A menos que sepas que lo necesitas, mi recomendación es que lo desinstales.

A pesar de que tu computadora personal y red de trabajo no estén en la lista de objetivos de Pawn Storm, tarde o temprano vas a tener que solucionar el problema con Flash en todos tus equipos.

Un usuario en Twitter resumió la situación en forma adecuada:

How to patch flash 0-day: 1) Uninstall flash 2) You don’t need flash 3) Stop installing flash

— MalwareTech (@MalwareTechBlog) octubre 13, 2015

Empieza a planear lo que vas a hacer ahora, porque con el constante bombardeo de nuevos exploits para Flash descubiertos, no parece que vaya a haber descanso.