08/12/2024

HTTPS – No todos los sitios tienen la misma seguridad

Por muchos años contar con un protocolo HTTPS y su correspondiente certificado digital en los servidores web, que soportan sistemas de entidades ha sido sinónimo inobjetable de SEGURIDAD.

Sin embargo, los certificados Digitales con el tiempo han enfrentado el descubrimiento de vulnerabilidades en los algoritmos criptográficos, los protocolos de seguridad, la compatibilidad y seguridad de navegadores, así como la configuración de los servidores. Entonces para mantener el estado SEGURO de los sitios HTTPS se deben contemplar diferentes variables. El solo hecho de contar con un candado visual y un protocolo HTTPS ya no es suficiente.

Figura 1: Relación de seguridad con HTTPS

En términos simples podemos decir que existen Niveles de seguridad entre los sitios que tienen configurado un protocolo HTTPS.

 

OBJETIVO:

Nuestra empresa con el afán de apoyar en la seguridad del sistema nacional ha realizado un trabajo de investigación técnica mediante una evaluación externa, COMPLETAMENTE PUBLICA, PASIVA Y NO INTRUSIVA en los sitios web de 23 entidades, que por la naturaleza de sus actividades, deben tener certificados digitales. El Objetivo es apoyar para que TODOS los sitios tengan un nivel ALTO en términos de seguridad de acuerdo con los métodos y criterios utilizados a la fecha.

Las vulnerabilidades institucionales afectan la MARCA PAIS en cuanto a nivel y percepción de la seguridad de la información devaluando las capacidades tanto como nación, así como profesionales.

IMPORTANTE: El relevamiento corresponde en fecha a mediados del mes de agosto 2017. Se ha notificado a varias de las entidades afectadas habiendo notado que ALGUNAS han tomado recaudo correspondiente y otras ninguna acción.

No se publican datos específicos del Sector o las entidades por cuanto AUN prevalece la posición de NEGACIÓN en muchos Directorios. Cuando la reacción debería ser actuar rápidamente frente a una observación dada a conocer formalmente, la respuesta es un ataque a la fuente de la misma. Tenemos 16 años contribuyendo a mejorar la seguridad y hemos vivido muchos escenarios de confrontación inicial, aceptación posterior y agradecimiento como conclusión, pero después de varios meses. Por tanto consideramos correcto el camino. pero tomamos precauciones. Hemos comprobado que el personal técnico al final, acepta el efecto positivo de estas publicaciones.

RESULTADO GENERAL:

El resultado de la evaluación es el siguiente:

Figura 2: Niveles de Seguridad detectados

 

Esta figura refleja los porcentajes por grupos donde se puede apreciar los extremos

Para determinar los niveles se ha tomado la relación entre la calificación más baja y la más alta.

  • NIVEL MUY ALTO. 17% significa un grupo donde la conjugación de variables ha cubierto las diferentes vulnerabilidades conocidas hasta hoy. Se puede decir que tienen un nivel de seguridad MUY ALTO y correspondientemente un nivel de riesgo MUY BAJO
  • NIVEL MUY BAJO. 13% – Representa un grupo de entidades que, si bien tienen un certificado digital, la conjugación de variables no es óptima según los criterios de seguridad. Requieren de forma inmediata la reconfiguración de sus sitios. Se puede decir que tienen un NIVEL DE SEGURIDAD MUY BAJO y correspondientemente un NIVEL DE RIESGO MUY ALTO

Si consideramos que a Menor nivel de seguridad se puede entender MAYOR riesgo tenemos los siguientes resultados:

 

Figura 3: Relación Cantidad y Porcentaje

 

Los cuadros permiten apreciar la cantidad y la relación porcentual.

Se resalta como PROMEDIO DEL SECTOR el NIVEL ALTO de RIESGO, por cuanto sería el resultado de todo el grupo que exactamente da 27.83.

RESULTADO ESPECIFICO:

De acuerdo con las evaluaciones realizadas las 23 entidades están distribuidas de diferente manera. Se identifican 5 grupos por el grado de riesgo que presentan.

Los nombres de las entidades no son presentados por motivos de confidencialidad y reserva de información.

Figura 4: Resultados de la evaluación

Por confidencialidad no se despliegan las entidades.

VULNERABILIDADES ENCONTRADAS

Se muestra las principales vulnerabilidades encontradas:

  • FREAK attack
  • POODLE TLS attack.
  • MITM attacks
  • The server uses SSL 3, which is obsolete and insecure.
  • Intermediate certificate has an insecure signature.
  • The server supports only older protocols, but not the current best TLS 1.2.
  • This server accepts RC4 cipher, but only with older
  • There is no support for secure renegotiation
  • The server does not support Forward Secrecy with the reference browsers.

El grado de gravedad de estas vulnerabilidades hace que el sitio aparentemente protegido reciba calificaciones menores. Muchas de estas vulnerabilidades están ampliamente descritas en foros y sitios especializados. Tanto de manera teórica,  como facilidades para explotarlas.

RECOMENDACIONES:

 

Es importante que cada entidad analice la exposición presentada bajo la premisa “DEBE SER SEGURO Y DEBE PARECER SEGURO”. La evaluación se ha realizado tomando las mismas variables y métodos para las 23 Entidades.

Consideramos que para mantener la confianza en el concepto HTTPS, TODAS las entidades del Sistema debería estar mínimamente con calificación A, siendo que aún existe la calificación A+.

Las recomendaciones técnicas van en diferentes niveles:

  • Del lado de los servidores WEB. Sin duda el lado más importante y que le toca bajo responsabilidad total a las entidades. Las vulnerabilidades están desnudando la incapacidad de seguir a buen ritmo la detección y publicación de vulnerabilidades por cuanto varias tienen más de 12 meses. Esta recomendación está en manos de cada entidad y puede ser rápidamente subsanada.
  • Del lado de los clientes. Sin duda aun la brecha digital entre usuarios comunes y usuarios seguros es muy grande. Los primeros pueden dejar las vulnerabilidades de sus navegadores expuestas. Esta recomendación es mucho más difícil de asegurar.
  • Del lado de los desarrolladores que sin duda recae en las pruebas de pase a producción, donde deberían saltar estas vulnerabilidades. Esta recomendación está en manos de cada entidad y puede ser subsanada en un plazo de semanas.
  • La tarea de los diferentes niveles debe ser más estricta en términos de pruebas y acreditaciones antes de que algo sea publicado al Internet. Las Re acreditaciones de seguridad permiten protegerse contra la dinámica de la relatividad en seguridad. Algo que ayer fue seguro, hoy ya no lo es.

Autor / Redactor / Director