-
añadir a favoritos
«La seguridad» prometida
martes 22 de noviembre de 2016
Preferimos un enemigo expreso al falso amigo.
Friedrich Engels
Cualquier filtración en una base de datos de algún sitio web es peligrosa para usuarios. Así mismo, las Preguntas más frecuentes de muchos recursos nos aseguran que no hay peligro: úselo, no se preocupe.
Normalmente se menciona el uso SSL para argumentarlo.
Garantizamos la seguridad de sus datos. En nuestro sitio web se usa el protocolo criptográfico SSL y el cifrado de 128 bits, por lo tanto, los malintencionados no pueden acceder a su información. ¡No se preocupe de nada!
El uso de SSL – no es una panacea
Sí, sus datos que se transfieren del navegador (desde su equipo) al servidor web del sitio, por lo tanto, están protegidos.
Además, la seguridad de SSL es un mito bastante peligroso. Un cifrado de canal en ningún caso le protegerá en caso de suplantar el certificado a nivel de proveedor en el momento de transferencia o en caso de intercepción del tráfico a nivel de equipo (también al suplantar el certificado).
Un certificado SSL válido emitido para un dominio atacado permite realizar un ataque invisible para el usuario, de tipo «man-in-the-middle». Para realizarlo, es necesario que entre el usuario atacado y el servidor haya un nodo administrado por el atacante que intercepta el tráfico activamente. Este nodo se considera un servidor legítimo, usando el certificado válido mencionado más arriba.
La intercepción de la conexión HTTPS puede ser automatizada – existen los nodos proxy especiales (SSL-proxy) que interceptan “al vuelo”, así mismo, generando los certificados necesarios. Hay que cargar en este proxy un certificado y la clave secreta que permiten firmar otros certificados (por ejemplo, se puede usarse un así llamado certificado intermediario de la AC, emitido a propósito).
«Man-in-the middle» no funciona para HTTPS en caso de tomar algunas medidas extra, por ejemplo: el establecimiento de una conexión TLS requiere autenticación recíproca, y la clave secreta de cliente no está disponible para el nodo interceptor (o las claves de la AC que autentifican la clave de cliente); o – el navegador de usuario registra las huellas digitales del servidor de confianza, o el usuario aplica las fuentes de información extra sobre las claves y certificados permitidos, no disponibles para la suplantación en el nodo interceptor (esta fuente puede ser DNS u otra base de datos).
La mayor parte de los servicios usan un así llamado SSL termination: el tráfico HTTPS de usuario, cifrado, llega solo al proxy del borde, donde se transfiere a HTTP que luego se dirige públicamente por las redes internas (en sentido lógico, no técnico) del servicio. Es una práctica estándar, porque en general, HTTPS, a medida que crece el número de clientes, se convierte en una tecnología pesada, difícil de escalar. Si el sistema de inspección del tráfico está dentro de las redes del tráfico, detrás de este SSL proxy de borde, ningún HTTPS le afecta. El tráfico interno de servicios distribuidos se dirige fácilmente entre los nodos y los centros de datos por canales de comunicación alquilados a operadores importantes, públicamente, este tráfico puede ser escuchado, aunque para el usuario tiene aspecto de una conexión HTTPS.
Y lo más importante: si ya hay un programa nocivo funcionando en el equipo que tiene acceso al navegador, HTTPS tampoco sirve, porque los datos pueden ser interceptados antes de llegar al canal cifrado. Lo mismo pasa por parte del servidor.
Por otra parte, las advertencias del navegador sobre «la conexión no protegida» no siempre significan un peligro.
Ya todo el mundo está acostumbrado a los errores en los productos de Microsoft, pero también hay más errores. Por ejemplo, un sitio web muy popular y solicitado, Microsoft.com. Lo abrimos en el navegador, introducimos cualquier solicitud en el campo de búsqueda para consultar este recurso por protocolo HTTPS… ¿Qué pasa?
El certificado usado por el sitio web fue generado para dominios de tercer nivel, por eso el navegador al principio se sorprende un poco, luego se asusta y le aconseja al usuario: «¡debe abandonar este sitio web enseguida!». ¡Nos largamos!
En caso de no tener previsto transferir alguna información, no es necesario usar SSL. Pero para un malintencionado que difunde virus desde un servidor el uso de un canal cifrado es una ventaja: si un antivirus no puede escanear el tráfico cifrado, el archivo nocivo puede penetrar en el sistema sin obstáculos.
Los componentes Dr.Web SpIDer Mail y Dr.Web SpIDer Gate pueden escanear el tráfico cifrado.
A veces la administración de algún sitio web informa con orgullo sobre escaneos web automáticos diarios.
Nuestro sitio web se somete todos los días al escaneo por un escáner web que detecta el software nocivo y las vulnerabilidades conocidas. No les dejamos a los malintencionados ninguna oportunidad, pero si pasa algo, seremos los primeros en enterarnos y tomaremos lаs medidas necesarias.
A su ves, los escaneres del software nocivo que escanean el sitio web directamente, son capaces de encontrar todas las amenazas conocidas en el mismo. Pero si no se escanea el servidor donde está ubicado el sitio web, la seguridad no es completa– últimamente aparecen cada día más troyanos para Linux (un sistema operativo ampliamente usado para crear sitios web). Y en caso de haber podido usar las vulnerabilidades conocidas en modo automático, es muy probable que el sitio web ya hubiera sido hackeado.
¡Las herramientas funcionan si las usamos bien!
#escaneo_del_tráfico #cifrado #seguridad #sitio_web #LinuxEl mundo de antivirus recomienda
Para usuarios:
- No confíe en los mensajes de sitios web que le prometen seguridad completa de sus datos — múltiples filtraciones de los datos personales ya confirmaron que los sitios web, al igual que los PCs, pueden someterse a ataques. Es mejor averiguar si su servicio fue sometido a la auditoría de seguridad y qué antivirus está instalado en su servidor.
- No se preocupe al ver advertencias que le aconsejan dejar de usar algún servicio enseguida, intente investigarlo y, en caso necesario, pida ayuda a un experto.
- Recuerde: casi siempre es probable que sus datos transferidos por Internet puedan ser interceptados por terceras personas.
Para web masters: solo un antivirus residente puede detectar un troyano en su servidor, ¡sobre todo el servidor está administrado por Linux!
![[Twitter]](http://st.drweb.com/static/new-www/social/no_radius/twitter.png "Compartido 15 veces")
Nos importa su opinión
Para redactar un comentario, debe iniciar sesión para entrar en su cuenta del sitio web Doctor Web. - Si aún no tiene la cuenta, puede crearla.