Esta semana en ciberseguridad – Mayo 2022

Avanzando hacia la Privacidad de Datos Personales.

Esta semana se publicó Tails 5.0, un sistema operativo basado en Debian GNU/Linux 11 “Bullseye” cuya principal características es que es completamente anónimo, permitiendo una navegación en internet sin dejar rastros.

Este sistema operativo además es portable y permite la ejecución desde un pendrive. Tiene como entorno de escritorio GNOME 3.38 y permite la transferencia de información encriptada.

El navegador web anónimo incluido es TOR Browser 11.0.10, basado en Mozilla Firefox, quien ya ha invertido mucho en investigación y desarrolla para conseguir una navegación que no pueda ser seguida por bots o Cookies que envían nuestra información de preferencias a empresas con fines publicitarios.

REFERENCIAS: https://tails.boum.org/news/version_5.0/index.es.html

CISA publica las 15 vulnerabilidades que sí o sí debes parchear.

La Agencia de Seguridad de Ciberseguridad e Infraestructura (CISA) en conjunto con las autoridades de ciberseguridad de los Estados Unidos, Australia, Canadá, Nueva Zelanda y el Reino Unido dieron a conocer las 15 principales vulnerabilidades y exposiciones comunes (CVE) explotadas habitualmente por actores cibernéticos maliciosos en 2021.

  • CVE-2021-44228 – Log4Shell
  • CVE-2021-40539 – Zoho ManageEngine AD SelfService Plus
  • CVE-2021-34523 / CVE-2021-34473 / CVE-2021-31207 / CVE-2021-27065 / CVE-2021-26858 / CVE-2021-26857 / CVE-2021-26855 – ProxyShell – Microsoft Exchange Server
  • CVE-2021-26084 – Atlassian Confluence Server and Data Center
  • CVE-2021-21972 – VMware vSphere Client
  • CVE-2020-1472 – ZeroLogon – Microsoft Netlogon Remote Protocol (MS-NRPC)
  • CVE-2020-0688 – Microsoft Exchange Server
  • CVE-2019-11510 – Pulse Secure Pulse Connect Secure
  • CVE-2018-13379 – Fortinet FortiOS and FortiProxy

Las organizaciones deben aplicar las mitigaciones recomendadas por CISA. Estas mitigaciones incluyen la aplicación de parches oportunos a los sistemas y la implementación de un sistema centralizado de gestión de parches para reducir el riesgo de compromiso por parte de actores cibernéticos malintencionados.

REFERENCIA: https://www.cisa.gov/uscert/ncas/alerts/aa22-117a

HTTPA: ¿el protocolo sucesor de HTTPS?

HTTPS es el principal protocolo utilizado por aplicaciones y páginas web. Ofrece una conexión rápida, segura y privada, pero aun tiene ciertas limitaciones que hacen que no sea un protocolo perfecto en cuanto a seguridad y privacidad, dado que asume que ambas partes, cliente y servidor son de confianza. Es por esto que se esta generando esta sugerencia para migrar a HTTPA.

¿Qué es HTTPA?
HTTPA (HTTPS Attestable) no es más que una nueva versión de HTTPS que añade una capa extra de seguridad. Con este protocolo toda la información que se comparta se hará mediante un software seguro y en un entorno fiable (TEE). Esto es posible gracias al uso de certificados adicionales y técnicas de criptografía para garantizar que nadie pueda interceptar los datos ni que se hayan modificado durante el proceso; ya sea por parte de un usuario malintencionado o un software fraudulento.

Si en HTTPS se asume que las dos partes son de confianza y que el intercambio de información se hará de forma segura, con HTTPA se confía en el cliente pero no en el servidor. Será el cliente quien tendrá que permitir que el servidor pueda ejecutar el código, aunque no puede garantizarse que todo el servidor sea un entorno seguro. Es decir, HTTPA añade un extra de seguridad, pero sigue arrastrando algunas limitaciones de HTTPS.

¿Cómo funciona?
Según el documento en el que se describe HTTPA, su funcionamiento se divide en tres fases:

  1. Una fase inicial de solicitud y respuesta de la verificación previa HTTP, se comprueba si el servidor acepta o no HTTPA.
  2. Una fase intermedia de solicitud y respuesta de atestación HTTP, que verifica el envío de la información.
  3. Por último, la solicitud y respuesta de sesión de confianza HTTP, que gestiona la solicitud de información y su envío.

De esta forma se mejora la seguridad en internet al introducir la atestación remota, un mecanismo que permite garantizar la máxima seguridad de los datos. Todo con la intención de que los servicios en internet permitan al usuario verificar que el intercambio se realiza en las condiciones más seguras, al verificar antes de proceder al envío de datos que existe una certificación adicional.

Este proceso podría ocasionar problemas de ancho de banda y aumento de la latencia, ya que los datos deben atravesar un camino más largo entre emisor y receptor. En cualquier caso, sus creadores aseguran que los tiempos serán muy parecidos a los obtenidos con HTTPS.

Por el momento HTTPA no es más que una sugerencia, aún quedaría por lanzar oficialmente la propuesta de creación de un nuevo estándar y abrir una consulta pública.

REFERENCIA: https://blog.segu-info.com.ar/2022/05/httpa-el-protocolo-sucesor-de-https.html