¿Confía en el pequeño símbolo de candado verde en la barra de URL de su navegador durante la banca en línea? Debe tener cuidado: en un tercio de todos los servidores en todo el mundo, el protocolo de seguridad internacionalmente aprobado TLS y la transferencia de datos cifrados pueden verse comprometidos. Todos los tiposde la comunicación en línea que se ocupa de datos sensibles se ven afectados: banca en línea, compras en línea, servicios de administración electrónica y toda nuestra comunicación por correo electrónico. Esto se ha demostrado en un estudio actual, al que el Instituto Horst Görtz para la Seguridad de TI en la Ruhr-Universität Bochum ha contribuido significativamente.
las contraseñas no están protegidas
Para su ataque criptográfico, el equipo de investigación internacional ha contado con un viejo amigo: "SSLv2" es la versión anterior del protocolo de seguridad actual TLS y ahora se considera inseguro. "SSLv2 está inactivo en muchos servidores, aunque TLS tieneha estado en uso durante mucho tiempo ", dice Juraj Somorovsky del Instituto Horst Görtz en Bochum. Las versiones antiguas se han reemplazado en su mayoría, pero nunca se han eliminado por completo. Un grave error, como resultado: crea una puerta a través de la cual se pueden pasar por alto los mecanismos de seguridad TLS, dejando así los nombres de usuario, contraseñas, números de tarjetas de crédito y datos financieros desprotegidos.
33 por ciento de todos los servidores están afectados
Los investigadores han escaneado toda la red https y han descubierto que aproximadamente el 33 por ciento de todos los servidores en todo el mundo, es decir, 11,5 millones de unidades, se han visto afectados por su ataque. Se requieren solo 440 dólares estadounidenses para llevar a cabo un ataque.Los investigadores los invirtieron para alquilar tarjetas gráficas con alta potencia informática para sus ataques en una nube AMAZON. "Debido a un error de implementación, pudimos prescindir de la potencia informática adicional cuando probamos una variación alternativa del ataque", relata.Somorovsky: las tácticas gratuitas todavía funcionan en el 26% de todos los servidores del mundo.
Protección posible
"Es posible protegerse de ataques de ese tipo", dice Somorovsky. Primero, los administradores web deben desactivar los protocolos SSLv2 en sus servidores. Además, los investigadores lanzaron el sitio web www.drownattack.com el 1 de marzo de 2016, con importantes consejos de seguridad. Todos pueden usarlo para probar si su propia página web es segura. El problema de seguridad detectado de este modo es un resto vergonzoso: hace veinte años, el estándar SSLv2 se lanzó deliberadamente como no completamenteversión segura debido a las regulaciones de exportación de criptografía. "Debemos aprender de los errores del pasado", concluye Somorovsky. "¡Las normas de seguridad de Internet políticas y económicamente independientes son indispensables!"
Colaboración internacional
En los últimos meses, el equipo dirigido por Juraj Somorovsky, Susanne Engels y el profesor Christof Paar del Instituto Horst Görtz de la Ruhr-Universität Bochum colaboró con investigadores de las universidades de Münster, Tel Aviv, Pensilvania y Michigan, y con investigadores delProyecto Hashcat y OpenSSL. Titulado DROWN descifrando RSA con cifrado obsoleto y debilitado, el ataque será un tema clave discutido en la conferencia der RuhrSec en Bochum el 29 de abril de 2016.
Fuente de la historia :
Materiales proporcionado por Ruhr-Universitaet-Bochum . Nota: El contenido puede ser editado por estilo y longitud.
Cita esta página :