25/04/2024

https

Certificados SSL

CERTIFICADOS SSL EN SITIOS DE LA BANCA EN BOLIVIA

Editor YPT 30/09/2021

INTRODUCCIÓN

Como parte del programa PAPJ - Programa de apoyo al Profesional Junior que organiza Yanapti SRL y también como parte de las investigaciones que nuestra empresa realiza se ha tomado como objetivo llamar la atención sobre el impacto técnico y psicológico que tiene un candado en la conexión HTTPS.

Se realizó una verificación de los certificados SSL en los sitios de transacciones online de las bancas de Bolivia donde se tomaron los siguientes puntos:

  • Identificar los proveedores de los certificados SSL a los sitios.
  • Nivel de seguridad de seguridad de seguridad del certificado digital tomando en cuenta parámetros como los cifrados de encriptación, el tamaño de la llave publica, la renegociación de las claves y los protocolos soportados por el sitio.

Sin duda alguna se realizaron esfuerzos para identificar posibles debilidades de seguridad en los certificados que podrían permitir que un atacante remoto capture el tráfico de red y pueda descifrar los datos cifrados dentro de transacción bancaria.

No solo debe parecer, sino también ser

NOTA: Se ha tomado solo un sitio transaccional de cada banco como ejemplo. En algunos casos se tiene Banca personas y banca empresas en servidores separados.

RESUMEN DE RESULTADOS

Se realizo la verificación de certificados SSL para cada uno de los bancos ya mencionados en el apartado de alcances, donde se llego a ver que la mayoría de estos cumplen con un nivel de seguridad alto a excepción de algunos bancos que reportan un nivel de seguridad medio en la implementación de certificados SSL, para comprender esto es importante tener en cuenta la siguiente tabla:

RESUMEN DE RESULTADOS

Nivel de seguridad Muy Alto
Se considera un nivel de seguridad Muy alto ya que se cumplen con los parámetros como los cifrados de encriptación, el tamaño de la llave publica, la renegociación de las claves y los protocolos soportados por el sitio de forma que estos se consideren seguros.
Nivel de seguridad Alto
Se considera un nivel de seguridad Alto ya que se cumplen con 3 de los 4 parámetros de los cuales se considera los cifrados de encriptación, el tamaño de la llave publica, la renegociación de las claves y los protocolos soportados por el sitio.
Nivel de seguridad Medio
Se considera un nivel de seguridad Medio ya que se cumplen con 2 de los 4 parámetros de los cuales se considera los cifrados de encriptación, el tamaño de la llave publica, la renegociación de las claves y los protocolos soportados por el sitio.
Nivel de seguridad bajo
Se considera un nivel de seguridad Medio ya que se cumplen con 1 de los 4 parámetros de los cuales se considera los cifrados de encriptación, el tamaño de la llave publica, la renegociación de las claves y los protocolos soportados por el sitio.
Nivel de seguridad Muy bajo
Se considera un nivel de seguridad Medio ya que no cumple con ninguno de los parámetros dados.

Dentro del proceso de revisión se pudo identificar que la mayoría de los sitios de transacciones de las distintas bancas cumplen con un nivel de seguridad alto en los certificados como se muestra a continuación:

Nivel de seguridad de los certificados SSL

AUTORES

Este trabajo ha sido dirigido por el Ing. Guido Rosales y ejecutado por el Lic. Jhosep Noel Ticona Trujillo

Jhosep Noel Ticona Trujillo - entusiasta de la tecnología y el mundo de la ciberseguridad, titulado en la Universidad Mayor de San Andrés como Licenciado en Informática.

Actualmente tiene certificados en el campo de la ciberseguridad como CPHE y CSPFC.

Además, es miembro activo de plataformas de Try Hack Me y Hack the box.

Jhosep participa del PAPJ - Programa de Apoyo al Profesional Junior de Yanapti SRL.

Adjuntamos una breve explicación del Ing. Rosales sobre este trabajo:

https://yanapti.com/2021/pd7-certificados-digitales/

También puede ver resultados anteriores

https://yanapti.com/2021/conexionhttps/

Y no solo es el sector financiero:

https://yanapti.com/2020/https-el-candadito-no-es-suficiente/

PENDIENTE

Esperamos extender el análisis a todo el sector regulado por ASFI: Cooperativas, IFDs, servicios complementarios, etc.

seguridad por https

HTTPS el candadito NO ES suficiente

Guido Rosales 04/07/2020

Desde hace un tiempo, unos 3 años vamos revisando la instalación de certificados digitales en los sitios web. al final se ha creado un habito en la navegación de por lo menos validar si el candadito esta instalado. Y literalmente muchos sitios web de Bancos sobre todo lo definen como una condición de seguridad.

Mas allá de cuan efectivo es, en tiempos donde muchos sitios falsos vienen con certificados digitales. Al final del articulo le dejamos referencias a artículos pasados, pero relacionados.

Hace unos días en los sitios de AFP tanto de Futuro como de previsión aparecieron mensajes irregulares:

https://www.facebook.com/guido.rosales.u/posts/10220848737501198

https://www.facebook.com/guido.rosales.u/posts/10220848711540549

Debido a ese motivo, hoy sábado nos dimos tiempo para dar una vuelta en los sitios respectivos:

En el sitio de AFP Futuro, si vemos con Firefox, el candado aparece con un símbolo de advertencia

Firefox califica como pagina con cifrado débil

El certificado de la pagina de AFP Previsión según herramientas web tiene una adecuada configuración y se le da una A en cuanto a su seguridad

AFP futuro reporta dos IPs asociados, pero en ambos obtiene una C con las consecuentes observaciones a su certificado instalado.

En conclusion, debemos considerar que instalar un certificado para que la conexion se vea como HTTPS no es suficiente. Estas configuraciones deben ser revisadas y mejoradas.

Al final todos los bolivianos somos parte aportante a las aFPs y debemos velar por que mejore en todo sentido la seguridad y la percepcion deesta.

La seguridad debe ser y parecer

A continuación hacemos referencia a artículos anteriormente publicados donde se ha realizado este revelamiento en sitos web de Bancos

https://yanapti.com/2017/muchos-sitios-https-deben-mejor-configurados/

https://yanapti.com/2017/herramienta-validar-seguridad-sitios-https/

https://yanapti.com/2017/https-todos-los-sitios-la-misma-seguridad/

Candaditos HTTPS vemos debilidades no sabemos!!

Guido Rosales 20/12/2017

¡DEBE SER Y PARECER!! TENER UN HTTPS NO ES SUFICIENTE

Lamentablemente aun nuestra entidades toman de mala manera cuando se publican verdades facticas.

Este reporte llega a ALGUNAS entidades con datos completos, pero para fines de difusion publica se ha enmascarado cierta informacion.

Aun tenemos generacion X reaccionado al Rojo Vivo y generando un espiritu de limitacion a la libertad de expresion. Pero a buen entendor pocas palabras!!!

 

Por muchos años contar con un protocolo HTTPS y su correspondiente certificado digital en los servidores web, que soportan sistemas de entidades xxx--xxx ha sido sinónimo inobjetable de SEGURIDAD.

Sin embargo, los certificados Digitales con el tiempo han enfrentado el descubrimiento de vulnerabilidades en los algoritmos criptográficos, los protocolos de seguridad, la compatibilidad y seguridad de navegadores, así como la configuración de los servidores. Entonces para mantener el estado SEGURO de los sitios HTTPS se deben contemplar diferentes variables. El solo hecho de contar con un candado visual y un protocolo HTTPS ya no es suficiente.

 

Figura 1: Relación de seguridad con HTTPS

En términos simples podemos decir que existen Niveles de seguridad entre los sitios que tienen configurado un protocolo HTTPS.

 

OBJETIVO:

Yanapti SRL con el afán de apoyar en la seguridad de xxx--xxx ha realizado un trabajo de investigación técnica mediante una evaluación externa, COMPLETAMENTE PUBLICA, PASIVA Y NO INTRUSIVA en los sitios web de 23 entidades xxx--xxx!!!!

El Objetivo es apoyar para que TODOS los sitios tengan un nivel ALTO en términos de seguridad de acuerdo con los métodos y criterios utilizados a la fecha.

Las vulnerabilidades institucionales afectan la MARCA PAIS en cuanto a nivel y percepción de la seguridad de la información devaluando las capacidades tanto como nación, así como profesionales. Los resultados pueden y han sido enviados unicamente con datos de entidades comprendidas en la muestra.

RESULTADO GENERAL:

El resultado de la evaluación es el siguiente:

Figura 2: Niveles de RIESGO detectados - agosto 2017

Se volvio a realizar las evaluaciones al 15 de diciembre 2017

Figura 3: Niveles de RIESGO detectados - diciembre 2017

Esta figura refleja los porcentajes por grupos donde se puede apreciar los extremos

Para determinar los niveles se ha tomado la relación entre la calificación más baja y la más alta.

Al mes de agosto se tuvieron los siguientes resultados

  • NIVEL DE RIESGO MUY BAJO. 13% significa un grupo donde la conjugación de variables ha cubierto las diferentes vulnerabilidades conocidas hasta hoy. Se puede decir que tienen un nivel de seguridad MUY ALTO
  • NIVEL DE RIESGO MUY ALTO. 18% - Representa un grupo de entidades que, si bien tienen un certificado digital, la conjugación de variables no es óptima según los criterios de seguridad. Requieren de forma inmediata la reconfiguración de sus sitios. Se puede decir que tienen un NIVEL DE SEGURIDAD MUY BAJO.

Si consideramos que a Menor nivel de seguridad se puede entender MAYOR riesgo tenemos los siguientes resultados:

Figura 4: Relación Cantidad y Porcentaje – agosto 2017

Para el mes de diciembre 2017 la situacion ha cambiado un poco. se han invertido los resultados en promedio. El nivel de riesgo alto es de 13% y el nivel muy bajo subio hasta 17%

 

Figura 5: Relación Cantidad y Porcentaje – diciembre 2017

Los cuadros permiten aprecias la cantidad y la relación porcentual.

Se resalta como PROMEDIO DEL SECTOR el NIVEL ALTO de RIESGO, por cuanto sería el resultado de todo el grupo que exactamente da 27.83 en el mes de agosto y de 24.13 para el mes de diciembre. Se observa una mejora muy leve.

RESULTADO ESPECIFICO

De acuerdo con las evaluaciones realizadas las 23 entidades están distribuidas de diferente manera. Se identifican 5 grupos por el grado de riesgo que presentan.

Los nombres de las entidades no son presentados por motivos de confidencialidad y reserva de información.

Figura 6: Resultados de la evaluación – agosto 2017

Para diciembre hubieron mejoras en varias entidades, solo algunas mantuvieron el nivel al mes de agosto. En realidad solo una entidad bajo de nivel hasta lograr una F, el nivel mas bajo de seguridad.

Figura 7: Resultados de la evaluación – diciembre 2017

Por confidencialidad no se despliegan las entidades.

Se observa que algunas, aunque pocas entidades han mejorado su resultado, lamentablemente otras se mantienen y una ha empeorado.

VULNERABILIDADES ENCONTRADAS

Se muestra las principales vulnerabilidades encontradas:

  • FREAK attack
  • POODLE TLS attack.
  • MITM attacks
  • The server uses SSL 3, which is obsolete and insecure.
  • Intermediate certificate has an insecure signature.
  • The server supports only older protocols, but not the current best TLS 1.2.
  • This server accepts RC4 cipher, but only with older
  • There is no support for secure renegotiation
  • The server does not support Forward Secrecy with the reference browsers.

El grado de gravedad de estas vulnerabilidades hace que el sitio aparentemente protegido reciba calificaciones menores. Muchas de estas vulnerabilidades están ampliamente descritas en foros y sitios especializados. Tanto de manera teórica,  como facilidades para explotarlas.

RECOMENDACIONES:

Es importante que cada entidad analice la exposición presentada bajo la premisa “DEBE SER SEGURO Y DEBE PARECER SEGURO”. La evaluación se ha realizado tomando las mismas variables y métodos para las 23 Entidades.

Consideramos que para mantener la confianza en el concepto HTTPS, TODAS las entidades del Sistema xxx--xxx  deberían estar mínimamente con calificación A, siendo que aún existe la calificación A+.

Las recomendaciones técnicas van en diferentes niveles:

  • Se supone que muchas hacen evaluaciones de hacking regularmente.  Recomendamos validar si este informe comprende vulnerabilidades en el certificado digital.
  • Del lado de los servidores WEB. Sin duda el lado más importante y que le toca bajo responsabilidad total a las entidades reguladas. Las vulnerabilidades están desnudando la limitacion de seguir a buen ritmo la detección y publicación de vulnerabilidades por cuanto varias tienen más de 12 meses. Esta recomendación está en manos de cada entidad y puede ser rápidamente subsanada.
  • Del lado de los clientes. Sin duda aun la brecha digital entre usuarios comunes y usuarios seguros es muy grande. Los primeros pueden dejar las vulnerabilidades de sus navegadores expuestas. Esta recomendación es mucho más difícil de asegurar.
  • Del lado de los desarrolladores que sin duda recae en las pruebas de pase a producción, donde deberían saltar estas vulnerabilidades. Esta recomendación está en manos de cada entidad y puede ser subsanada en un plazo de semanas.
  • La tarea de los diferentes niveles debe ser más estricta en términos de pruebas y acreditaciones antes de que algo sea publicado al Internet. Las Re acreditaciones de seguridad permiten protegerse contra la dinámica de la relatividad en seguridad. Algo que ayer fue seguro, hoy ya no lo es.

 

Finalmente, se debería exigir que todas las entidades consideren de manera más integral el análisis de vulnerabilidades y seguimientos a este tipo de riesgos. Muchos de los certificados tienen más de 12 meses de estar implementados, por tanto, se infiere que las vulnerabilidades tienen más de ese tiempo sin haber sido corregidas.

Te pueden interesar

portada curso NMSI NETHO

Curso: Nivel de madurez con NETHO e ISO 27001:2022

Guido Rosales 05/02/2024
perito informatico

Pericias: Lecciones aprendidas

Guido Rosales 02/11/2023
hack banking

Seminario Presencial Tarija: Banca digital ciber riesgos, estafas y pericias forenses

Guido Rosales 28/10/2023
criptolavanderia

Seminario: PREVENCION DEL LAVADO DE CRIPTOACTIVOS

Guido Rosales 05/10/2023
ciberguerra rusia ucrania

Por qué la Ciberguerra Rusia-Ucrania debe preocuparnos como Pais?

Guido Rosales 03/09/2023