ssl

Certificados SSL

CERTIFICADOS SSL EN SITIOS DE LA BANCA EN BOLIVIA

INTRODUCCIÓN

Como parte del programa PAPJ - Programa de apoyo al Profesional Junior que organiza Yanapti SRL y también como parte de las investigaciones que nuestra empresa realiza se ha tomado como objetivo llamar la atención sobre el impacto técnico y psicológico que tiene un candado en la conexión HTTPS.

Se realizó una verificación de los certificados SSL en los sitios de transacciones online de las bancas de Bolivia donde se tomaron los siguientes puntos:

  • Identificar los proveedores de los certificados SSL a los sitios.
  • Nivel de seguridad de seguridad de seguridad del certificado digital tomando en cuenta parámetros como los cifrados de encriptación, el tamaño de la llave publica, la renegociación de las claves y los protocolos soportados por el sitio.

Sin duda alguna se realizaron esfuerzos para identificar posibles debilidades de seguridad en los certificados que podrían permitir que un atacante remoto capture el tráfico de red y pueda descifrar los datos cifrados dentro de transacción bancaria.

No solo debe parecer, sino también ser

NOTA: Se ha tomado solo un sitio transaccional de cada banco como ejemplo. En algunos casos se tiene Banca personas y banca empresas en servidores separados.

RESUMEN DE RESULTADOS

Se realizo la verificación de certificados SSL para cada uno de los bancos ya mencionados en el apartado de alcances, donde se llego a ver que la mayoría de estos cumplen con un nivel de seguridad alto a excepción de algunos bancos que reportan un nivel de seguridad medio en la implementación de certificados SSL, para comprender esto es importante tener en cuenta la siguiente tabla:

RESUMEN DE RESULTADOS

Nivel de seguridad Muy Alto
Se considera un nivel de seguridad Muy alto ya que se cumplen con los parámetros como los cifrados de encriptación, el tamaño de la llave publica, la renegociación de las claves y los protocolos soportados por el sitio de forma que estos se consideren seguros.
Nivel de seguridad Alto
Se considera un nivel de seguridad Alto ya que se cumplen con 3 de los 4 parámetros de los cuales se considera los cifrados de encriptación, el tamaño de la llave publica, la renegociación de las claves y los protocolos soportados por el sitio.
Nivel de seguridad Medio
Se considera un nivel de seguridad Medio ya que se cumplen con 2 de los 4 parámetros de los cuales se considera los cifrados de encriptación, el tamaño de la llave publica, la renegociación de las claves y los protocolos soportados por el sitio.
Nivel de seguridad bajo
Se considera un nivel de seguridad Medio ya que se cumplen con 1 de los 4 parámetros de los cuales se considera los cifrados de encriptación, el tamaño de la llave publica, la renegociación de las claves y los protocolos soportados por el sitio.
Nivel de seguridad Muy bajo
Se considera un nivel de seguridad Medio ya que no cumple con ninguno de los parámetros dados.

Dentro del proceso de revisión se pudo identificar que la mayoría de los sitios de transacciones de las distintas bancas cumplen con un nivel de seguridad alto en los certificados como se muestra a continuación:

Nivel de seguridad de los certificados SSL

AUTORES

Este trabajo ha sido dirigido por el Ing. Guido Rosales y ejecutado por el Lic. Jhosep Noel Ticona Trujillo


Jhosep Noel Ticona Trujillo - entusiasta de la tecnología y el mundo de la ciberseguridad, titulado en la Universidad Mayor de San Andrés como Licenciado en Informática.

Actualmente tiene certificados en el campo de la ciberseguridad como CPHE y CSPFC.

Además, es miembro activo de plataformas de Try Hack Me y Hack the box.

Jhosep participa del PAPJ - Programa de Apoyo al Profesional Junior de Yanapti SRL.


Adjuntamos una breve explicación del Ing. Rosales sobre este trabajo:

https://yanapti.com/2021/pd7-certificados-digitales/

También puede ver resultados anteriores

https://yanapti.com/2021/conexionhttps/

Y no solo es el sector financiero:

https://yanapti.com/2020/https-el-candadito-no-es-suficiente/

PENDIENTE

Esperamos extender el análisis a todo el sector regulado por ASFI: Cooperativas, IFDs, servicios complementarios, etc.

muralla

Configuración Robusta para HTTPS

La seguridad puede ser vista de muchas maneras, en esta oportunidad quiero proyectar esa visión de una gran pared con muchos ladrillos. Cada ladrillo representa una contramedida o control que implementamos. Si 1 ladrillo esta mal colocado, puede ser que la pared no se derrumbe, pero podria ser suficiente para generar una brecha de seguridad con la potencialidad de crecer y afectar a toda la protección.

Certificados digitales

“HTTPS” significa Hypertext Transfer Protocol Secure (en español, Protocolo seguro de transferencia de hipertexto). Es la variedad segura del protocolo de transferencia de hipertexto que, a su vez, es la base de cómo movemos datos en la World Wide Web. Básicamente, conectarse a un website vía “HTTPS” (en lugar de conectarse a través del conocido “HTTP”) significa que cualquier dato que intercambies con dicho sitio pasará por encima de la seguridad de la capa de transporte encriptada (TLS) o su predecesora, la capa de conexión segura (SSL). Las conexiones “HTTPS” se encuentran señalizadas con un pequeño ícono de un candado en algún lugar de tu barra de direcciones, o en la “s” luego del “http” en la URL. “HTTPS” significa que cualquier dato que pases por un website estará encriptado mientras se mueva.

Fuente: https://latam.kaspersky.com/blog/explicativo-certificados-digitales-y-https/615/

Configuracion robusta

Entonces no solo sera suficiente tener un certificado digital para mostrar un candadito en las conexiones s sitios seguros como banca digital por ejemplo. Sera importante validar si la configuracion es la mas robusta posible.

En el internet se tienen diferentes recursos para validar la configuracion del certificado digital instalado.

El nivel de seguridad viene de las letras A+ hasta F, es decir muy seguro a menos seguro. Por ejemplo mantener protocolos criptograficos inseguros u obsoletos le resta puntaje al sitio web.

Sitios web visitados

Casi el total de visitas a la pagina principal del sitio web correspondiente a las facilidades de banca digital se ha realizado a mediados de mes y se ha publicado para dar a conocer los mejores resultados obtenidos. La intención? que los administradores puedan reconfigurar sus sitios y mejorar la protección de los mismos. Sin embargo vemos que no todos ven esta opción como una necesidad.

NOTA: LA VALIDACION SE HACE DE FORMA PUBLICA.

Puede ser realizada por cualquier persona en el siguiente enlace: https://www.ssllabs.com/ssltest/

La publicacion inicial de facebook esta en: https://business.facebook.com/YanapTiCorp/posts/3770638263018047

A continuación presentamos los resultados obtenidos en la visita de mediados de mes.

Como se puede observar el principal problema de la configuración esta en los protocolos obsoletos.

Las entidades en general, deben establecer la LINEA BASE DE SEGURIDAD en sus políticas criptograficas estableciendo tanto protocolos como longitud de llave permitida en cifrado simétrico, asimétrico y funciones hash.

Conclusión

Hemos creado una cultura a nivel de usuario final donde le decimos que valide la existencia del candadito en la url del navegador. Ahoar hay que seguir con este esfuerzo y reforzar la configuracion.

Reiteramos la lógica de que cada medida asumida es un ladrillo mas en la gran muralla de seguridad.