Let's encrypt ya está disponible en fase beta

genbeta.- Teniendo en cuenta que con el protocolo HTTP cualquier dato se transmite en texto plano, pasarlo sobre los protocolos SSL/TLS para cifrarlo en HTTPS se ha convertido en una solución esencial para proteger la privacidad y seguridad de los visitantes de cualquier web. Aun así, los costes y el tiempo requerido para obtener el certificado que lo implemente es un impedimento para algunas páginas.

Electronic Frontier Foundation lo saben, y por eso han publicado la primera versión beta de su propuesta para solucionar el problema: Let's Encrypt. Se trata de un asistente gratuito y automatizado que pretende hacer más accesible para los usuarios el proceso para solicitar el certificado necesario para cifrar su página con HTTPS e insertar el código pertinente en sus páginas.

Para evitar que una web quede expuesta a que sus visitantes puedan ser vigilados ilegalmente o se les puedan inyectar malware o ads no deseadas, el operador de un servidor necesita obtener e instalar un certificado digital expedido por una autoridad pertinente. Este certificado posee las claves criptográficas necesarias para poder comunicarnos de forma segura con sus páginas web.

Lee también: Las 5 Mejores Herramientas de Cifrado de Archivos (Encripción)

Pero este proceso no está exento de dificultades. Dos de las más importantes según la propia EFF son, por una parte unos costes que pueden dejar fuera de juego a las páginas más pequeñas, y por otra una dificultad técnica que pone el poder implementarlos sólo al alcance de quienes tengan ciertos conocimientos.

Para intentar ayudar a acabar con estas barreras y que sea más fácil conseguir un Internet seguro para todos, la EFF se ha aliado con empresas como Mozilla, Cisco, o la Universidad de Michigan para desarrollar su Let's Encrypt. Se trata de un cliente que promete facilitar, abaratar y automatizar el proceso para pedir e insertar los certificados para cifrar una página con HTTPS.

De momento está en fase beta enfocándose a hacer la configuración del HTTPS más sencilla en servidores. Esto quiere decir que aun queda un largo camino por recorrer añadiendo más funcionalidades, aunque ya podemos irlo probando para colaborar con nuestro feedback. El cliente lo podéis obtener aquí, y también se ha habilitado una comunidad para dar soporte a los usuarios.

Falla de seguridad en equipos Dell desde Agosto/2015

ticbeat.- Desde el pasado mes de agosto, algunos modelos de PC del fabricante Dell incluyen un fallo de fábrica que permitiría a los hackers interceptar el tráfico encriptado que desde ellos se haga en la red. Así lo asegura Joe Nord, un investigador especializado en ciberseguridad, que fue el encargado de poner de relieve este problema el domingo.

Dell, que ha pedido disculpas y ha anunciado que trabaja en un parche de seguridad para resolver el problema que, previsiblemente, estará disponible en las próximas horas, explica que el origen del fallo está en un certificado que ha sido instalado en los ordenadores para verificar su identidad durante las sesiones de soporte técnico. Parece que un hacker o un ciberdelincuente lo suficientemente hábil podría utilizar este mismo certificado para crear una clave que le permitiera espiar los datos encriptados del ordenador.

Lee también: Computadoras Lenovo cargadas con adware man-in-the-middle que rompe HTTPS

Dell justifica esta decisión explicando que lo que pretendía era facilitar que los usuarios verificasen la identidad de sus ordenadores cuando solicitasen ayuda o servicio técnico. Sin embargo, en su blog, el experto Joe Nord asegura que, cuando descubrió la presencia de este certificado en su Dell Inspiron 5000 estuvo “un buen rato” buscando una explicación para ello. De hecho, Nord establece un paralelismo con otro error similar, en este caso el que cometió a principios de este mismo año el fabricante chino Lenovo cuando decidió instalar de serie en sus equipos el software conocido como Superfish. Al igual que el certificado ‘eDellRoot’ de Dell, el certificado de seguridad de Superfish permitía a terceros hacerse con los datos encriptados de navegación de los usuarios afectados. Nord lo calificó entonces como “un suicidio corporativo”, y Lenovo tuvo que pedir disculpas y dejar de preinstalar este programa en sus ordenadores.

Los portavoces de Dell se han esforzado en aclarar que este certificado no constituye, en ningún caso, adware o malware, ni ha sido diseñado para recoger información de sus usuarios, sino para atenderles con mayor velocidad, pero aun así la compañía ya ha publicado un post en el que explica con detalle a sus usuarios cómo pueden desinstalarlo de sus equipos. Además, existe una web que permite a quienes utilicen un equipo Dell comprobar si está afectado por este bug.

Sitios HTTPS en riesgo de revelar sus llaves privadas a causa de un error crítico

Una serie de descubrimientos recientes sugieren que más sitios web HTTPS, aplicaciones de chat y otros servicios en línea están en riesgo de perder su confidencialidad.

De acuerdo con un especialista en seguridad de Red Hat (la distribución de Linux), los equipos de sistemas vendidos por pocos fabricantes olvidaron ejecutar adecuadamente un estándar de cifrado ampliamente utilizado, una debilidad de divulgación de información que pueda permitir a spammers imitar los sitios que utilizan el hardware defectuoso asegurado por HTTPS.

Un análisis de nueve meses cuestionando miles de millones de sesiones HTTPS de un gran número de localidades IP se ha tenido éxito obteniendo información de 272 llaves, informó el especialista en seguridad de Red Hat Florian Weimer en un documento de exploración publicado la semana pasada. Dado que los resultados estudiados son solo un pequeño porcentaje, la tasa del número general de handshakes del protocolo de seguridad de capa de transporte, numerosas nuevas llaves y productores son propensos a este fallo. Entre los equipos vulnerables hay balanceadores de carga de Citrix y dispositivos Hillstone Networks, ZyXEL, Alteon / Nortel, qNo, Fortinet, Viprinet y BEJY.

El error de divulgación es la repercusión del uso inestable del criptosistema de clave abierta de RSA, entre uno de los pocos sistemas que los sitios asegurados por HTTPS pueden utilizar para llaves comerciar con los visitantes del sitio. Un documento de la exploración publicado en 1996 por el científico Arjen Lenstra advirtió que una mejora a la vista de lo que está apodado como el "teorema chino del residuo" de vez en cuando hace que deficiencias ocurran en medio de la transformación de una firma RSA. Dicho agujero causa que sitios HTTPS que hacen uso del protocolo de "confidencialidad directa perfecta" filtren información que puede ser utilizada para recuperar la utilización de la clave privada del sitio a lo que se denomina como un ataque de canal lateral.
Por lo tanto, alguien presenciando la asociación entre un cliente y la página web y que por casualidad ve cuando sucede el fallo (o hasta el cliente mismo) puede imitar criptográficamente el sitio. La mayoría de los ingenieros prestaron atención a la llamada de Lenstra a presentar contramedidas que comprueban el fallo y evitar que se derrame la información numérica delicada, pero un numero de HTTPS libgcrypt programación incluyendo, GNUTLS y PolarSSL- no contiene tales solidificación de forma predeterminada. Lo que es más, a pesar de que la programación actualiza las comprobaciones, ciertos tipos de configuraciones pueden realmente apagarlos.

Weimer de Red Hat escribió en el periódico de esta semana, "Este informe muestra que todavía es posible utilizar el ataque de Lenstra para recuperar las claves privadas RSA, casi dos décadas después de que el ataque ha sido descrito por primera vez, y que los ataques de canal lateral en base a fallos puede ser relevante incluso en escenarios donde el atacante no tiene acceso físico al dispositivo ". Añadiendo aún más, "El efecto neto es que un observador pasivo con visibilidad del tráfico mundial de Internet es probable que pueda recuperar unas cuantas llaves de RSA de una manera completamente no imputable".

Más o menos como las posibilidades de ganar la loteria, las posibilidades de ver un fallo de RSA son increíblemente bajas, y es muy poco probable que un agresor puede entregar agujeros clave (fugas) para cualquier sitio dado libremente. Aún así, la prueba de 9 meses de Weimer muestra que los enemigos pacientes que están interesados ​​en la imitación de una extensa variedad de sitios web, al final lo conseguirán.


Un porcentaje de los gadgets que Weimer vio derramar información eran en gran medida antiguos. Otros, entre ellos los de Hillstone Redes y ZyXEL, utilizan una versión de "carriage rendition" de la biblioteca OpenSSL código de equipo del proveedor Cavium. La debilidad en sí, CVE-2015-5738, fue en arreglada en la biblioteca de Cavium. Weimer tiene un intercambio mucho más completo de soluciones accesibles en la página 8 del documento que publicó.

Computadoras Lenovo cargadas con adware man-in-the-middle que rompe HTTPS (Solución)

Lenovo vendio equipos con adware preinstalado que secuestra sesiones web encriptadas y pueden dejar a los usuarios vulnerables a ataques man-in-the-middle de HTTPS, dijeron los investigadores de seguridad.
La amenaza crítica está presente en las PC de Lenovo que tienen adware instalado de una compañía llamada Superfish. Tan desagradable como muchas personas encuentren un software que inyecta anuncios en sus páginas web, hay algo mucho más nefasto sobre el paquete Superfish. Instala un certificado HTTPS raíz autofirmado que puede interceptar el tráfico cifrado para cada sitio web que el usuario visita. Cuando un usuario visita un sitio HTTPS, el certificado del sitio está firmado y controlado por Superfish y se representa falsamente a sí mismo como el certificado del sitio web oficial.

Peor aún, la clave de cifrado privada que acompaña al certificado Transport Layer Security-Superfish firmado parece ser el mismo para todas las máquinas Lenovo. Los atacantes pueden ser capaces de utilizar la llave para certificar sitios web HTTPS impostores que se hacen pasar por Bank of America, Google, o cualquier otro destino seguro en Internet. Bajo este escenario, las PC que tienen el certificado raíz Superfish instalado no podrán resaltar un sitio falso, un fracaso que socava por completo la razón por la que existe la protección HTTPS en primer lugar.

Rob Graham, CEO de la firma de seguridad Errata Security, ha roto la clave criptográfica que cifra el certificado Superfish. Eso significa que cualquier persona puede utilizar la clave privada para lanzar ataques HTTPS-man-in-the-middle que no serán detectados por máquinas que tienen instalado el certificado. Solo le tomó a Graham tres horas darse cuenta que la contraseña era "Komodia" (menos las comillas).

Lenovo hizo  un comunicado en el que cual informa que fue instalado para mejorar la experiencia al usuario al mostrar publicidad relevante mientras navegan, el Adware dejo de instalarse en los equipos desde enero de este año.

Actualización:

Usuarios de Lenovo, utilicen esta liga para verificar si estan afectados y como solucionarlo:
https://filippo.io/Badfish/

Fuente: ArsTechnica