Noticias y Alertas
Header

A partir de ahora, todos los dominios web personalizados alojados en WordPress.com estarán cifrados, es decir, usarán HTTPS. “Esto lleva la seguridad del cifrado moderno a cada blog y sitio que alojamos. Lo mejor de todo es que los cambios son automáticos; no necesitas hacer nada”, anunció la compañía en un post.

Esta funcionalidad ya estaba disponible para subdominios propios con terminación “wordpress.com” desde 2014, pero ahora llega a todos los sitios personalizados que se basan en esta plataforma, que son más de un millón. Así, se sigue ampliando el espectro de portales cuyo tráfico está cifrado; Google lo había implementado para su plataforma de anuncios publicitarios en abril de 2015 y para Blogspot en noviembre y EFF sostiene la iniciativa “Encrypt-the-Web”. (más…)

Mientras el tráfico SSL crece 20% anualmente, más del 50% de los ataques por parte de ciberdelincuentes utilizará SSL cifrado para 2017. Aunque el 25% del tráfico saliente es SSL, el 80% de los sistemas de seguridad no previenen las amenazas dentro de éste.

El cifrado SSL es crucial para proteger los datos durante su tránsito en transacciones en la web, comunicaciones de e-mail y el uso de aplicaciones móviles. A pesar de ello, esta modalidad de transmisión de datos es cada vez aprovechado por el ciberdelincuente para ocultar transferencias de datos sensibles y para ofuscar sus comunicaciones de comando y control, destaca Blue Coat Systems en un nuevo informe. (más…)

SSLv3 ha muerto oficialmente (IETF)

junio 30th, 2015 | Posted by kwelladm in Noticias - (0 Comments)

El protocolo criptográfico Secure Socket Layer (SSL) nació hace 20 años como una necesidad de brindar comunicaciones seguras por una red, generalmente Internet. La versión 1.0 nunca fue pública, mientras que la versión 2.0 de dicho protocolo fue presentada en el año 1995 pero contenía muchas fallas de seguridad lo que llevaron finalmente a diseñar la versión SSL 3.0. Ahora, en junio del corriente año la organización IETF (Internet Engineering Task Force) ha tomado una postura oficial sobre el mismo a través de la RFC 7568: Deprecating Secure Sockets Layer Version 3.0 : SSL 3.0 es oficialmente obsoleto. (más…)

Se reveló que Gogo Air, uno de los mayores proveedores de servicios de Internet en vuelos, emitió certificados SSL falsos, lo que permitiría al proveedor de banda ancha en los vuelos lanzar ataques Man-in-the-Middle (MitM) hacia sus propios usuarios y ver las contraseñas e información sensible.

La noticia salió a la luz cuando el ingeniero de seguridad Adrienne Porter Felt, quien trabaja en el equipo de seguridad de Google Chrome, recibió un certificado SSL falso al intentar conectarse al servicio de videos YouTube de Google. Se dio cuenta de que el certificado SSL fue firmado por un emisor que no es de confianza y que no se emitió por Google, sino por el mismo Gogo. (más…)

El proyecto OpenSSL acaba de publicar un boletín en el que corrige ocho nuevas vulnerabilidades, la mayoría de ellas calificadas como impacto bajo a excepción de dos moderadas. Afectarían a la implementación de los protocolos SSL, RSA y DTLS entre otros. (más…)

Después del HeartBleedGate y los ríos de caracteres escritos sobre el caso, aquella manga de porfiados que son los desarrolladores de OpenBSD, con Theo de Raadt a la cabeza, dijeron “Vamos a hacer nuestro propio OpenSSL con juegos de azar y mujerzuelas”. Pero como la financiación no les da para los juegos de azar y las mujerzuelas, se quedaron sólo con el fork de OpenSSL, al cual lo llamarán LibreSSL y que en un principio va a estar para OpenBSD 5.6 y, si todo sale bien, para otros sistemas POSIX, incluyendo por supuesto Linux. (más…)

Actualización de OpenSSL

abril 20th, 2012 | Posted by kwelladm in Actualizaciones - (0 Comments)

Sistemas Afectados
Aplicaciones que utilicen la librería OpenSSL.
Descripción
Las nuevas versiones, la 1.0.1a, 1.0.0i y 0.9.8v, solucionan una vulnerabilidad en la lectura de datos en formato DER. (más…)

Vulnerabilidad en SSL y TLS

octubre 1st, 2011 | Posted by kwelladm in Noticias - (0 Comments)

Los investigadores de seguridad Thai Duong y Juliano Rizzo han presentado una vulnerabilidad en la implementación CBC (Cipher-block chaining) utilizada por SSL 3.0 y TLS 1.0.

Sin lugar a duda, una de las conferencias más espectantes durante la Ekoparty de este año ha sido la de Thai Duong y Juliano Rizzo titulada “BEAST: Surprising crypto attack against HTTPS”. El interés de dicha conferencia es evidente, un elevado número sitios Web y aplicaciones que utilizan SSL y que implementan CBC como principal cifrado de bloques son susceptibles de ser vulnerados. El problema radica en la forma en la que CBC es implementado en las versiones previas a TLS 1.1. (más…)

Hackers roban más de 200 certificados SSL, para suplantar por ejemplo a Google en diversos dominios de sus servicios, inclusos los de Gmail, por lo menos 10 días antes de ser detectados, informó este 31 de agosto Coputerworl.

Investigadores de diversas empresas de seguridad en el mundo acusan a la holandesa DigiNotar, adquirida por la estadounidense Vasco diciendo: “¿cómo es posible? ¿cómo es que no han realizado un registro de los certificados emitidos durante el ataque?. Al inicio de esta semana la empresa DigiNotar reconoció una eventual fuga de una docena de certificados, sin embargo el consultor de seguridad informática Hans Van Loby, fundador de la empresa holandesa de seguridad Madison Gunka, señaló que fueron informados por una fuente confidencial que cerca de 200 certificados fueron generados por los hackers. Según el investigador, los certificados permiten suplantar dominios de mozilla,com yahoo.com y torproyect.com. (más…)

 

La primera, y una de las más demandadas por los usuarios, es el soporte de sesiones https. Hasta ahora, solo la parte de autenticación de login y password iban cifradas, dejando toda la actividad que realizáramos en la red social sin cifrar. De este modo, un atacante podría leer nuestras conversaciones, ver nuestras fotos, robar nuestras cookies, etc. Parece que la aparición de Firesheep, una extensión de Firefox que permite robar las cookies de sesión de multitud de sitios web, ha acelerado el proceso de incorporación de https a los servidores de Facebook. (más…)