Diferencia entre La validación de dominio vs validación extendida

CA es una autoridad de certificación como DigiCert, Comodo, Symantec, GoDaddy, GlobalSign, etc. Sus certificados ya vienen equipados con el sistema operativo y el navegador (consulte / etc/ssl/certs Si estás en Linux). Los mecanismos de revocación se llaman CRL y OCSP según Webimprints, empresa de seguridad informática. Lo que te cobran sin embargo. Dependiendo del tipo de certificado los precios varían. El proceso en donde un tercero parte en que el servidor y el cliente confían para firma del certificado del servidor crea una cadena de confianza menciona Dave Smith especialista de seguridad informática en México. Con TLS, creamos cadenas de confianza utilizando la CA como tercero.

Tenga en cuenta que los datos no tendrán un cifrado más fuerte o más débil dependiendo de la cantidad que usted paga, todas las conexiones TLS usan alguna forma de AES, lo fuerte que depende de lo que el cliente y el servidor son capaces y están dispuestos a manejar según especialista de empresa de pruebas de penetración. Por ejemplo, muchos servidores se niegan a usar SSLv3 porque todo el escándalo de Poodle, algunos equipos más antiguos no son compatibles con los algoritmos de cifrado más recientes, algunos servidores no se han actualizados, y algunos clientes utilizan Internet Explorer.

CA generalmente te cobran más por los certificados que se utilizarán en varias máquinas, así que por ejemplo un certificado para * .webimprints.com costará más de uno para www.webimprints.com. Sin embargo, lo que CA realmente no es vendedor de certificados, es el vendedor de confianza explica Dave Smith especialista de seguridad informática en México. La validación de dominio vs validación extendida Hay tres niveles de certificación. La validación de dominios, Organización de validación, Validación extendida.

La validación de dominios es la forma más barata y la más básica de validación. El CA simplemente trata de asegurarse de que tiene algún tipo de control sobre el dominio que usted está tratando de obtener un certificado. Ellos toman unos minutos para validar y configuración.

Una manera común de hacer la validación de dominios es través de correo según experto de proveedor de seguridad informática. Digamos que usted quiere un certificado para webimprints.com. Después de proporcionar toda la información

necesaria a CA para generar su certificado. Usted debe elegir un correo donde se enviará un correo electrónico de confirmación y ya tendría su certificado. Otro método común consiste en revisando la base de datos WHOIS para el dominio asociado con el certificado.

Validación de Organización y Validación extendida son más caros, EV es una simple actualización sobre OV, por lo que los certificados EV son los más caros explica especialista de empresa de pruebas de penetración.

Este tipo de validaciones no sólo incluyen los controles normales de validación de dominio, también hacen varias comprobaciones para asegurarse de que la empresa que pide el certificado existe, física y legalmente. Estos controles de seguridad informática pueden ir desde llamadas telefónicas a las cartas firmadas por el director general. Debido a esto, este tipo de certificados pueden tardar varios días para salir.

Solución de autofirmado (Self Signed Certificate) y Out of Band para seguridad de datos.

Primero vamos hablar de certificado autofirmado (Self Signed Certificate) y como funciona eso con ayuda de experto de pruebas de penetración.  Un hash del certificado se hace, cifrado con la clave privada, y luego anexado al certificado para crear un nuevo certificado.   El servidor envía este nuevo certificado a los clientes que se conectan. Para verificar el certificado, el cliente descifra el hash con la clave pública del certificado, luego calcula su propio hash y los compara, si son iguales el certificado es válido explica experto de empresa de seguridad informática. A continuación, envía al servidor un mensaje cifrado con la clave pública proporcionada, si el servidor envía el mensaje no cifrado original de nuevo, a continuación, se considera autenticado. Este proceso asegura que la clave pública proporcionada corresponde a la clave privada utilizada para cifrar el hash.  El servidor tiene acceso a la clave privada. El hash cifrado creado anexado al certificado se llama una firma digital. Menciona Dave Smith especialista de seguridad informática en México que en este ejemplo, el servidor ha firmado digitalmente su propio certificado, esto se llama un certificado autofirmado(Self Signed Certificate).

 Si un atacante logra interceptar las comunicaciones o desviar el tráfico, se puede sustituir la clave pública en el certificado con su propia, vuelva a realizar la firma digital con su propia clave privada, y se manda eso  al cliente. Eso debe probar durante pruebas de penetración.

El problema es que toda la información necesaria para la verificación es proporcionada por el servidor. Es por ello que cuando se conecta a una entidad con un auto firmado certificado, navegador dará una advertencia, no poden asegurar que todo el que se está comunicando con él es quien dice ser.

Sin embargo, este tipo de certificados son realmente útiles en algunos escenarios. Pueden ser creados de forma gratuita, rápida y con poca molestia. Por lo tanto son buenos para algunas comunicaciones internas y la creación de prototipos. Sin embargo, este tipo de certificados son realmente útiles en algunos escenarios dice experto de empresa de seguridad informática. Pueden ser creados de forma gratuita, rápida y con poca molestia. Por lo tanto son buenos para algunas comunicaciones internas.

¿Cómo podemos solucionar este problema y detectar ese problema durante auditoría de pruebas de penetración? Bueno, ya que el problema es que el servidor proporciona toda la información para autenticar el certificado, ¿por qué no nos movemos un poco de esa información al cliente? 

Explica especialista de seguridad informática en México que deja que se centramos más en el cliente con una copia del certificado en una unidad USB, y almacenarlo directamente en el cliente esto se llama Out of band proceso. Ahorita, cuando el servidor envía su certificado:

 El cliente genera su propio hash del certificado y descifra el hash proporcionado con la clave pública de la copia del certificado que se proporcionó anteriormente en la unidad USB, de esta manera se asegura de que: 1. el certificado no ha cambiado, 2. quien firmo tiene la clave privada correcta.

A continuación, envía al servidor un mensaje aleatorio cifrado con la clave pública en la copia del certificado que se almacenó antes, si el servidor devuelve el mensaje sin cifrar original, consideramos que es autenticado. Si alguien intercepta o desvía la conexión, no tiene ninguna esperanza de entregar nuestro mensaje original y proporcionar un certificado válido, sin la clave privada.

Ahora bien, esta solución en realidad autentica, ya veces se utiliza para las comunicaciones internas. Sin embargo, no es muy práctico para varios casos de uso. Sería mucho trabajo tener que descargar un certificado cada vez que necesite acceder a un nuevo sitio web seguro, como un banco o eshop, o peor, esperando que alguien entregue su certificado con una unidad USB menciona experto de seguridad informática en México.

Por otra parte, usted tiene que asegurarse de que el certificado no es manipulado en el camino, que es uno de los problemas TLS debe resolver para nosotros en primer lugar. También está el problema de qué hacer cuando el certificado vence, o cómo va a revocarlo. Para resolver ese problema usamos firmas de CA (Certification Authority) que vamos a hablar en próximo artículo con ayuda de especialista de proveedor y empresa de seguridad informática.

SSL, TLS y Seguridad Informática en México

SSL (Secure Socket Layer) es un protocolo antiguo en comparación con TLS (Transport Layer Security). TLS es un protocolo para la transmisión segura de datos en gran medida basado en SSLv según Webimprints, empresa de seguridad informática en México. TLS ofrece la confidencialidad, la integridad y autenticación. Eso significa que:

Confidencialidad: oculta el contenido de los mensajes

Integridad: detecta cuando han sido alterados

Autenticación: asegura que quien está enviándolos es quien dice ser.

Además detecta los mensajes que faltan y duplicados. TLS es la principal manera de proteger el tráfico web, y utiliza sobre todo para ese propósito menciona Dave Smith especialista de seguridad informática en México. Un montón de páginas confían en TLS y TLS es seguro, es por eso que cosas como POODLE y Heartbleed reciben tanta atención. SSL está roto, las tres versiones. El último de ellos, la versión 3, tuvo su confidencialidad gravemente comprometida por POODLE según especialista de empresa de pruebas de penetración.

Por confidencialidad TLS utiliza cualquiera de Diffie-Hellman o RSA para el intercambio de claves. Con todo el problema Heartbleed, ahora se recomienda el uso de un mecanismo de intercambio de claves con el secreto hacia adelante, lo que implica Diffie-Hellman en este caso. El cifrado real se hace normalmente usa un algoritmo AES con varios modos disponibles (CBC, CCM, GCM).

Para la integridad normalmente se utiliza HMAC, hoy es prácticamente obligatorio el uso SHA256 mencionó experto de proveedor de seguridad informática en México.

Así que sin autenticación que sería abierto a, por ejemplo, MitM (Hombre en el Medio) ataques. Pero ¿cómo se puede autenticar a un servidor si usted nunca ha visto antes, y mucho menos intercambiado ninguna credencial con él?

La respuesta es los certificados TLS. Los certificados son sólo una clave pública con un montón de información que se le atribuye, como el FQDN está autenticado, un correo electrónico de contacto, el "expedido en" y "expira en" fechas, entre otras cosas, eso puede detectar durante pruebas de penetración. El servidor almacena y mantiene en secreto la correspondiente clave privada. TLS utiliza estas teclas para autenticar el servidor al cliente.

Recordemos que en la criptografía de clave pública, los mensajes cifrados con la clave pública sólo pueden ser descifrados utilizando la clave privada, pero los mensajes cifrados con la clave privada se pueden descifrar con cualquiera, explica experto de

Webimprints, una empresa de seguridad informática en México. El propietario de las claves guarda el secreto clave privada, y distribuye libremente la clave pública.

Ahora, la forma habitual de autenticación de alguien usando criptografía de clave pública es la siguiente (Suponga que Bob quiere autenticar Alice):

Bob envía Alice un mensaje aleatorio cifrado con la clave pública de Alice

Alice descifra el mensaje utilizando su clave privada y lo envía de vuelta a Bob

Bob compara el mensaje de Alice contra el que se envía.

Si coinciden Alice es quien decir que ella es, porque sólo ella podría haber descifrado el mensaje, porque sólo ella tiene su clave privada. TLS utiliza una variación de esta técnica, pero es esencialmente el mismo.

Solución para Envenenamiento de DNS

Un ataque de envenenamiento de DNS, también llamada DNS spoofing o DNS pharming, es cuando un hacker es capaz de redirigir un usuario de Internet a un sitio web diferente a la dirección que el usuario ha escrito en su / su navegador que podemos detectar durante pruebas de penetración. Para tomar un ejemplo real, cuando un usuario escribe en www.google.ro en el navegador, se les redirige a otro sitio en lugar del motor de búsqueda de Google - un sitio web que está controlado por el hacker. Eso se paso hace 2 años según Webimprints, empresa de seguridad informática en México.

El hacker aprovecha una vulnerabilidad en el software de servidor DNS local en Rumania. Esto significa que un usuario en Rumania va a terminar en el sitio web del hacker, mientras que un usuario en, por ejemplo California no se ve afectada menciona Dave Smith especialista de seguridad informática en México.

Como las palabras son más memorables que las direcciones IP, utilizamos los nombres de dominio en lugar de números largos para acceder a un sitio web. Los números largos (direcciones IP) es la forma en que las máquinas se comunican entre sí. El Sistema de Nombres de Dominio (DNS) "conversos" nombres de dominio a su dirección IP correspondiente y viceversa según especialista de empresa de pruebas de penetración.

El sistema de nombres de dominio maneja miles de millones de solicitudes todos los días cuando la gente busca en Internet y correo electrónico entre sí. Un ataque de Envenenamiento DNS es cuando el hacker ataque los servidores DNS externos. Con el fin de acelerar el tiempo de carga de los sitios web globales utilizan las soluciones de DNS locales con resultados de caché, por lo que las solicitudes no van a la Internet cada vez que los servidores de nombres con autoridad (DNS global). Si la solicitud no está en el DNS local, entonces se envía a los servidores de nombres autorizados (DNS mundial). El hacker es, básicamente, inunda el DNS local con respuestas falsas que se cree que envíe desde el DNS global mencionó experto de empresa de seguridad informática en México.

Debido a la vulnerabilidad del servidor DNS, será erróneamente autenticar estas respuestas falsas, y esta caché se guarda en el DNS local. Cuando los usuarios a continuación, buscan el sitio web que ha sido hackeado, a continuación, se les redirige a la página web del hacker, que ahora es la respuesta en caché. En el caso de la .ro dominios el hacker había instalado el servidor falso en Holanda, e hizo que el servidor DNS local identifica la transferencia de zona como auténtico.

Como un negocio, usted quiere asegurarse de que su nombre de dominio no es secuestrado. Como usuario privado internet desea evitar ser víctima de una estafa. DNSSEC (DNS Security Extensions) está diseñado como la solución para prevenir el envenenamiento de caché DNS entre el local y los servidores de nombres autorizados

(DNS mundial). Esto se hace digitalmente "firma" de datos para que pueda estar seguro de que es válido. Webimprints, una empresa de seguridad informática en México ofrece soluciones para proteger de envenenamiento de DNS.

Client-Side Injected Malware en navegadoras

Client-Side Injected Malware (CSIM) incluye los widgets no autorizados, anuncios y spyware que se inyectan en sitios web por extensiones instalados en los navegadores, o por el malware descargado involuntariamente a las computadoras de los visitantes, tabletas y dispositivos móviles según Webimprints, empresa de seguridad informática en México.

Sitios web de comercio electrónico están manipulados por las inyecciones de cliente que ni ellos ni sus visitantes son conscientes. Peor aún, muchas inyecciones parecen como parte integrante de sitio web menciona Dave Smith especialista de seguridad informática en México. Esto aumenta la posibilidad de que un visitante haga clic en una de estas inyecciones, así como el sitios pierdes la confianza que se ha construido a través del tiempo con los clientes leales.

No sólo CSIM resulta en una pérdida directa de los visitantes y las conversiones, que a menudo afecta negativamente a la experiencia de usuario. CSIM interrumpe el flujo y la navegación de un sitio, lo que lleva a un mayor porcentaje de pérdida de los clientes según especialista de empresa de pruebas de penetración. Además, puede resultar en brecha de sus términos de privacidad del sitio web como CSIM pone cookies en los navegadores de sus visitantes, a veces en nombre de su empresa. CSIM también pone en peligro la seguridad y la privacidad de la información de sus visitantes, incluyendo su dirección de correo electrónico que los expone a las campañas de spam y phishing.

El siguiente es un escenario típico que ilustra cómo un visitante inocente se infecta por CSIM – por malware y mediante la inyección de un anuncio en un sitio de comercio electrónico mencionó experto de proveedor de seguridad informática en México:

1. Los desarrolladores crean una extensión para la inyección en el navegador.

2. Plataformas de terceros se utilizan para agrupar la extensión o aplicación de software basado en un modelo de reparto de ingresos.

3. El visitante inocente descarga una extensión o aplicación (como un reproductor de vídeo gratuito) con un inyector.

4. El visitante decide ir de compras en un sitio de comercio electrónico.

5. La página web que se sirve desde el servidor web como debe aparecer correctamente.

6. Inmediatamente después de la renderización de páginas, el navegador del visitante inyecta el malware en el espacio vacío o anula el contenido existente. Dependiendo de su sofisticación, la inyección puede o no puede ser aparente para el visitante y eso puede detectar durante pruebas de penetración.

El primer paso para solucionar este problema es crear conciencia entre las partes interesadas dentro de su organización que existe la amenaza, así como el

reconocimiento de la magnitud de su negocio. También es importante entender que sus soluciones de seguridad actuales no fueron diseñadas para prevenir este tipo de amenaza. Webimprints, una empresa de seguridad informática en México ofrece una tecnología innovadora que proporciona sitios de comercio electrónico con una solución fácil de implementar, de extremo a extremo para el manejo de amenazas de CSIM.

Vulnerabilidad de DNS transferencias de zona

Las transferencias de zona permiten que los servidores autorizados de nombres dentro de las redes para solicitar y recibir copias completas de los registros de recursos para una zona particular en una red. Esto es importante, sobre todo cuando una institución quiere la posibilidad de compartir una gran cantidad de información entre sus usuarios según Webimprints, proveedor de pruebas de penetración en México.

En una red, una zona actúa como una base de datos para un solo nombre de dominio DNS - por ejemplo, usc.edu. Si otros subdominios: se añaden (es decir mail.usc.edu), pueden convertirse en parte de ese dominio y se almacenan dentro de ese mismo registro, o podrían pertenecer a otra zona.

Dave Smith especialista de seguridad de datos en México menciona que las transferencias de zona dentro de la red pueden ser útiles por razones legítimas, como comprobar si las direcciones IP coinciden con los nombres, o para compartir datos. Dentro de un sistema de colegio o universidad, las transferencias de zona pueden ser deseables para compartir bibliotecas y otros recursos esenciales para el personal y los estudiantes. En el lado oscuro, sin embargo, lo que permite transferencias de zona también deja el sistema vulnerable a ataques si alguno de los servidores autorizados de nombres está configurado mal.

Servidores mal configurados no operan de la manera que deberían, y un atacante fuera pueden pedir una transferencia de zona y el servidor dará a ellos sin hacer preguntas.

La mayoría de las redes han mitigado este problema al no permitir transferencias de zona en la red, pero en una gran cantidad de instituciones educativas no es el caso.

El único lugar que existe, sin embargo, es en los institutos como universidades que están tan desesperados por estar vinculados a otras universidades que están intercambiando información constantemente entre sí. Sólo es necesario que haya un servidor de nombres DNS mal configurado y un hacker puede hackear todas las personas que están conectadas a la red según especialista de empresa de pruebas de penetración.

Una vez que el atacante ha realizado la transferencia de zona que él o ella es capaz de ver todos los dispositivos que están conectados al sistema hasta el punto de la transferencia de zona y puede usar esa información para hackaer usuarios. Entonces, ¿cómo pueden sys-admins mitigar los problemas con las transferencias de zona? La solución más simple, por supuesto es no permitir que ellos, pero en el caso de que la red quiere seguir permitiendo las transferencias de zona, la mejor solución es implementar restricciones de IP sobre quién puede solicitar y recibir una transferencia de zona mencionó experto de proveedor de seguridad de datos en México.

Sistemas de detction de rootkits

Los sistemas informáticos se enfrentan a las amenazas de muchos tipos de ataques como rootkits. Un rootkit es un tipo de software oculto, a menudo malicioso, diseñado para ocultar la existencia de procesos o programas de métodos normales de detección para habilitación de acceso privilegiado a un equipo. Una vez que los atacantes han obtenido acceso root, van a instalar rootkits para ocultar la evidencia para que los administradores de sistemas no puedan detectarlos según Webimprints, empresa de pruebas de penetración en México.

Además de robo de información sensible, los atacantes también utilizan rootkits a crear puertas traseras para ataques posteriores. Los rootkits son difíciles de detectar ya que un rootkit intenta ocultar su existencia de los programas anti-malware. Detección de rootkit se puede clasificar en tres grupos explica Dave Smith experto de seguridad de datos en México.

En el primer grupo, los investigadores de pruebas de penetración analizan y caracterizan los comportamientos de los rootkits. Por ejemplo, HookFinder proporciona información valiosa y detalles sobre los mecanismos de enganchar que se utilizan por los atacantes. K-Tracer y Panorama son herramientas automáticas que pueden de manera eficiente analizar el acceso a datos y trayectorias de propagación y comportamientos de manipulación de los diferentes programas.

En el segundo grupo, los investigadores de pruebas de penetración tratan de detectar los rootkits mediante ciertos síntomas que se exhiben por la intrusión. Por ejemplo, SBCFI (statebased integridad de control de flujo) supervisa la integridad del núcleo del sistema operativo para detectar cambios maliciosos.

En el tercer grupo, las herramientas están diseñadas para evitar los cambios por los rootkits en el núcleo del sistema operativo. La emergencia de la computación en nube se abre un nuevo horizonte para la solución de este problema.

En un entorno virtualizado, el hipervisor puede monitorear el comportamiento de las máquinas virtuales. Mientras que un rootkit puede ser capaz de engañar al sistema operativo virtual, será muy difícil para ocultar un proceso malicioso desde el hipervisor. Varios sistemas de seguridad se han desarrollado para la detección de rootkits en máquinas virtuales. Por ejemplo, investigadores de seguridad de datos en México., utiliza el Vmwatcher y revisa la máquina virtual en general de una manera no intrusiva para inspeccionar estados de bajo nivel de VM.

UCON es un programa basada en eventos. Se mantiene accede al sistema a nivel bajo y asegura que los accesos no pueden ser comprometidas por procesos internos de una máquina virtual.