Articulo

Resumen Esta ponencia se enfoca en brindar solución al problema de la seguridad de encriptación de datos La interacción de HTTPS ya que actualmente es protocolo más utilizado para la encriptación de datos las vulneravidades y sus fallos de seguridad tanto el usuario final y los datos de la empresa también vamos a dar conocimiento de algunas técnicas para mejorar la seguridad de nuestros sitios y mejorar la implementación de https 1. PROPOSITO Implementar las mejores técnicas para proteger la transmisión de datos sensibles de usuario aplicativo web mediante el protocolo https.

2. ANTECEDENTES La tecnología SSL/TLS no garantiza al 100% que la información sea segura. Los atacantes se han vuelto muy hábiles e ingeniosos para burlar estos mecanismos de seguridad. Ya sea por debilidad en la teoría o por una mala implementación de esa teoría o por accesos indebidos o por otros factores difíciles de predecir. Por ello, es aconsejable que tomemos algunas medidas preventivas antes de realizar transacciones delicadas online que puedan poner en riesgo tus datos. Y para ejemplificar lo que se está diciendo aquí se muestra un caso real de ataque a las comunicaciones seguras en Internet. Caso real Un caso real que ejemplifica el mal uso de esta tecnología fue publicado en el artículo Troyano bancario secuestra conexiones SSL, el cual se puede consultar en http://www.seguridad.unam.mx/noticias/?noti=4419. .

3. AMENAZAS NOTORIAS Esta nueva situación del protocolo HTTPS:

Cuando envías tu información al banco, ésta es cifrada utilizando el certificado falso e interceptado por el mismo troyano, quien la manipula y transfiere al banco para que éste la procese. Empleando el certificado falso, el troyano es capaz de descifrar y leer la información que compartimos con el banco, probablemente reenviándola a un atacante. Existe un buck o fallo en la manera que Internet Explorer examina los objetos HTTPS embebidos dentro de páginas HTTP normales, en una etiqueta del tipo . Este buck se presentaba en versiones anteriores a la 7.0 y, por suerte, en la actualidad ya ha sido corregido. Un atacante, o un troyano, podrían agregar una línea como la siguiente a cada página descargada desde un sitio HTTPS, logrando un certificado legítimo, pero robado. Ataques del tipo DNS Spoofing No es sencillo para la mente humana recordar el número: 82.98.134.14, que es la IP de esta web: http://www.tierradelazaro.com. Así que, cada vez que queramos visitar www.tierradelazaro.com estaremos consultando a un servidor de DNS para saber cual es la dirección de IP asociada al nombre de este dominio en cuestión y poder acceder a ella. Es decir, DNS, Domain Name Server o Servidor de Nombres De Dominio. Ataque falsificar certificados Este es un ataque supuestamente efectuado por autoridades iraníes sobre sus internautas. Según se relata en el artículo de El Pais http://elpais.com/diario/2011/03/25/radiotv/1301007601_850215.html. Este caso de espionaje se produjo gracias a un engaño a una de las 650 agencias que regularmente emiten unos 1.500 certificados de autenticidad para páginas Web seguras, que cientos de miles de internautas usan a diario. Ataque de dirección falsa Este ataque es bastante simple e imaginativo. Debido a que la mayoría de los usuarios visitan páginas no protegidas con SSL antes de ser llevados a páginas cifradas con SSL/TLS, un atacante puede evitar fácilmente que éstos usen el cifrado para capturar así todo su tráfico. SSL/TLS se diseñó para evitar precisamente este tipo de cosas. ¿Pero qué ocurre si la víctima nunca llega a comunicarse realmente con el sitio Web seguro? Muchos sitios utilizan páginas iniciales no cifradas en las que el usuario lleva a cabo la mayor parte de la actividad. Un atacante puede visualizar, e incluso modificar, el contenido de la comunicación sin levantar sospechas en el usuario final, tan sólo reescribiendo todos los enlaces de esas páginas que lleven a páginas protegidas o cifradas. Ataque de la cadena / Al crear un certificado SSL y enviarlo a una autoridad certificadora para que lo firme, el único campo al que la gente suele prestar atención es a CN o common name. El campo CN especifica el nombre del servidor, como pueda ser www.dominio.org, o http://www.tierradelazaro.com. Se descubrió que los estándares de certificado X.509 y SSL definen la cadena de CN como una cadena PASCAL; por tanto, esencialmente, se declara la longitud de la cadena en la posición 0 y se pone la cadena en sí en las posiciones siguientes. Sin embargo, y dado que la mayoría del software de procesamiento de certificados está escrito en lenguaje C, dicho software suele manejar la cadena como una cadena de C; poniendo un NULL, \0, al final de la cadena para indicar dónde termina ésta. La mayoría de los programadores no se percató de las implicaciones que ésto tenía y simplemente pasaban la cadena CN a una estructura de cadena en C. El problema llega cuando alguien que legítimamente posee www.dominio.com, obtiene un certificado para www.empresacertificada.com\0www.dominio.com. 1. ¿ante fallas de https uqe medidas podemos tomar cuando realimos compras por internet? 2. Como verificar la confiaza de una página web al momento de ingreso? 3. Como podemos como usuarios finales proteger nuestra información transmitida por eol protocolo https?

4. ESTRATEGIA DE SEGURIDAD Por la parte del de nuestro aplicativo o servicio web implementado podemos tomar las siguientes medidas para garantizar la confiesialidad entre el cliente y el servicio • .

4.1. identificar un sitio de phishing Verificar y actualización de certificados ssl para prevenir el. Phishing 7y verificación de dominio constate para prevenir redirecionamiento no deseado para el usuario

4.2. Implementación de seguridad en el servidor web Utilización de un software antivirus con capacidades proactivas de Detección y con una base de firmas actualizadas, es un componente Fundamental para prevenir el malware que se propaga Las herramientas de antispam y firewall también permiten optimizar la seguridad del sistema ante estos riesgos.

4.3. educación al usuario . Utiliza métodos para dar información al usuario de que medidas puede tomar para la navegación segura hacia la web Para que pueda tomar las siguientes recomendaciones: - Evita hacer uso de computadoras y redes públicas, sobre todo si vas a utilizar el servicio de banca online, realizar cualquier tipo de compra o transferir información valiosa para ti. - Instala un antivirus y procura mantenerlo actualizado. - Es importante mantener actualizado tu navegador, ya que si no lo haces, eres más susceptible a ataques. Consulta el sitio web oficial del navegador que elijas y obtén la versión más reciente. - Mantén tu Sistema Operativo actualizado, esto mejora la seguridad. - Cuando utilices HTTPS, verifica la vigencia del certificado, ésto lo puedes hacer observando en el periodo de validez del mismo. Verifica que se muestra el candadito cerrado en el navegador y que estás accediendo al dominio que quieres acceder. - Verifica periódicamente que tu configuración de Internet, sobre todo la IP de tu servidor de DNS es correcta. - Realiza copias de seguridad de tus documentos y de tus datos más sensibles. - Y enciende una vela a la Virgen, pues aún haciendo todo lo de arriba y teniendo mucho cuidado, nada garantiza la total seguridad.

4.4 implementacion de servicio de clouflare Esta implantación protegerá la disponibilidad de la pagina web prevelleniedo los ataques D.O.S (denegación de servicios ) 4.5 implementacion de ssl Certificado SSL. Los certificados SSL tienen un montón de beneficios para los propietarios de sitios web ya que impide a los criminales hacer sus fines maliciosos en Internet. Te presentamos el siguiente articulo para que conozcas la importancia y tanto las ventajas como desventajas de contar con un certificado SSL en tu sitio web. Contratación de provedores de certificados ssl Aunque costoso el certificado ssl tiene ventajas como : Alto grado de compatibilidad, con el 99% de los navegadores y la mayoría de los dispositivos móviles. Verificador de instalación. Actualizador de Validación Extendida. Acceso a la cuenta de administrador SSL desde certsuperior.com. Garantía por un monto de 250 mil dólares. Escaneo diario de malware (software malicioso) sin costo adicional. Revocación y sustitución gratuitas. Soporte técnico gratuito y asesoría especializada. En resumen, las Ventajas del Certificado de Seguridad SSL / Secure Site Pro con EV convergen en que su presencia hace posible que los clientes confíen en las Organizaciones y realicen transacciones en sus sitios web. Su adquisición es posible desde el portal de certsuperior.com que ofrece las mejores opciones de Certificados de Seguridad en el mercado.