vulnerabilidades ssl tls

Vulnerabilidades en SSL y TLS

1020 680 Prestigia

Desde Prestigia Seguridad, en múltiples ocasiones hemos compartido artículos relacionados con consejos y buenas prácticas a seguir sobre Ciberseguridad en vacaciones, por ejemplo, donde comentábamos como en una red Wi-Fi pueden capturar nuestras contraseñas si no navegamos con conexiones HTTPS. Vemos este tema muy interesante y hemos decidido dedicar este artículo de hoy sobre las distintas vulnerabilidades en SSL y TLS que existen, con el fin de que empresas y usuarios sepan algunos de las principales vulnerabilidades (todas corregidas ya) que han logrado romper la seguridad de las comunicaciones cifradas.

¿Qué es SSL (Secure Sockets Layer) y TLS (Transport Layer Security)?

La versión 3.0 de SSL fue catalogada como la última revisión de este protocolo de comunicaciones seguro conocido por las siglas SSL “Secure Sockets Layers”. La evolución de este protocolo de comunicaciones seguras, paso a llamarse TLS “Transport Layer Security” que, comenzando nuevo nombre, comenzó con nuevo versionado, siendo la primera la 1.0. Su función primaria sería el envío de claves de cifrado entre aplicaciones que implementen este protocolo, de forma que se realice una conexión segura entre ellas sobre la cual no se puedan interceptar los datos enviados y recibidos.

Pongamos el siguiente ejemplo, necesitas conectarte con tu banca online, para realizar operaciones, de este modo, el banco nos proporcionara una conexión segura con los protocolos comentados anteriormente. Gracias a esto, ningún atacante en la misma red podrá obtener tu usuario y contraseña de tu banca online. Este tipo de casos podrían darse, por ejemplo, desde una red Wi-Fi compartida con otros usuarios.

A día de hoy, la inmensa mayoría de aplicaciones tanto Web como aplicaciones móviles, utilizan SSL y TLS para proteger las comunicaciones de los usuarios. No obstante, a lo largo del tiempo las diferentes versiones del protocolo han sido revisadas por investigadores de seguridad, que han encontrado de deficiencias que han ayudado a día de hoy, que estos protocolos disfruten de un nivel de seguridad óptimo.

Principales vulnerabilidades SSL y TLS conocidas

Existen numerosas vulnerabilidades descubiertas en SSL/TLS. Dada la complejidad de sus ataques, es complicado poder ejecutarlas en la mayoría de los casos, puesto que la mayoría son investigaciones con una base matemática compleja que requiere entornos y condiciones concretas para poder explotarse, sin embargo, dada su fácil explotación, han llegado a poner los usuarios en serios aprietos, os las compartimos:

  • Ataque Heartbleed: Esta conocida vulnerabilidad afecta a la versión OpenSSL 1.0.1 la cual fue puesta online el 14 de marzo de 2012 y adicionalmente, afecta también a la versión 1.0.1f. Esta vulnerabilidad en su día, afectó a dos tercios de todo internet. Existen aun así otras entidades como puede ser Netcraft, que reducen el impacto hasta el 17% de los servidores web que, siendo empíricos, que 1 de cada 5 servidores posea esta vulnerabilidad, da que pensar. Esta vulnerabilidad permitiría a un atacante tener acceso a esa información que SSL está protegiendo. Este severo error reside en el manejo de memoria en la implementación de «Transport Layer Security Heartbeat Extension» y gracias a ello, pudo ser utilizado para revelar más de 64 kilobytes de la memoria de la aplicación con cada heartbeat.
  • Ataque POODLE: Consiste en el aprovechamiento de una funcionalidad con la cual, cuando un intento de conexión SSL es erróneo, se procede a forzar de nuevo dicha conexión con un protocolo más antiguo. Gracias a esto, el atacante ocasionaría de forma intencionada errores de conexión en este protocolo seguro TLS en las versiones 1.2, 1.1 y 1.0 y de este modo, forzar así el uso de SSL 3.0 para el aprovechamiento de la nueva vulnerabilidad.
  • Ataque BEAST: Denominado como BEAST y con identificador CVE-2011-3389, aprovecha la debilidad en el modo de cifrado CBC “Cipher Block Chaining” de SSL/TLS. De este modo se permitiría a mediante un ataque Man In The Middle “MITM” obtener información de la sesión como podrían ser datos de sesión “cookies” de usuarios.
  • Ataque SWEET32: La vulnerabilidad SWEET32 tiene asignado el identificador CVE-2016-2183. Su explotación se basa en el ataque de colisión en el protocolo SSL y TLS sobre las suites de cifrado que usan bloques de 64 bits para extraer texto plano de los datos cifrados, cuando es utilizado el modo de cifrado CBC.

Soluciones para proteger tus comunicaciones

Ya comentamos las ventajas de implementar correctamente certificados SSL, pero eso no nos libra de ser vulnerables a que nuestras comunicaciones puedan ser espiadas, a continuación de comentamos como minimizar riesgos:

Simplemente, para protegernos sobre las vulnerabilidades POODLE/SWEET32/BEAST básicamente debemos deshabilitar SSL 3 y TLS 1.0 deben estar deshabilitados.

Adicionalmente, como siempre recomendamos, debemos asegurarnos que nuestras aplicaciones y sistema operativo estén actualizados al día.

También deben ser realizadas pruebas adicionales que validen la seguridad de la versión OpenSSL utilizada en su servidor.

Finalizando las buenas prácticas, aconsejamos contratar servicios profesionales para realizar por ejemplo test de intrusión, realizando pruebas de hacking ético, para que seamos notificados de este tipo de vulnerabilidades si nuestros sistemas son vulnerables.

Desde Prestigia Seguridad no queremos dejar de aconsejar como lectura recomendada la entrada sobre errores comunes en la gestión de la seguridad en empresa y recomendar la contratación de profesionales para ejecutar test de seguridad que eviten poner en riesgo los datos de la compañía frente a cibercriminales.

Dejar una Respuesta

Tu dirección de correo electrónico no será publicada.

Este sitio usa Akismet para reducir el spam. Aprende cómo se procesan los datos de tus comentarios.

En Prestigia Online S.L. utilizamos cookies para asegurar que damos la mejor experiencia al usuario en nuestro sitio web. Si continúa utilizando este sitio asumiremos que está de acuerdo. Más información sobre las cookies que utilizamos en nuestra Política de cookies.