Google Chrome sigue siendo el navegador más utilizado, y sus usuarios pronto podrán beneficiarse de una funcionalidad muy importante. Chrome 63 introducirá una nueva opción de seguridad que detectará cuando un software de terceros está realizando un ataque Man-in-the-Middle (MitM).
"Comprometida una autoridad certificadora, todos sus certificados revocados". Suena mal, ¿verdad? Es probable que hayáis leído algo parecido a esto durante los últimos días a raíz de un descubrimiento de Google, o incluso con lo del desastre de Superfish y Lenovo. La cuestión es, ¿qué significa eso? ¿Qué es un certificado? ¿Qué es una autoridad certificadora (o CA)?
Desde luego, son cosas que no necesitas saber para vivir un día más. Pero igual que la mayoría sabréis qué es un troyano o qué hace un antivirus, saber qué es un certificado viene bien: al fin y al cabo, es una de las cosas que evita que alguien pueda ver qué páginas visitas y tus datos personales. Así que hoy nos vamos a dedicar a explicar qué son los certificados SSL.
Hace unos días os hablábamos del fallo goto fail en la librería de SSL de OS X e iOS. Y, casualidades de la vida, hoy ha aparecido otro similar en GnuTLS, una librería de SSL para Linux, con consecuencias muy similares. Un atacante con conocimiento del fallo podría crear certificados que siempre serían aceptados como válidos por la librería, y espiar así comunicaciones aparentemente seguras.
En realidad, el fallo no tiene prácticamente que ver con criptografía. En la función encargada de verificar la validez de certificados X.509 tipo ASN.1, el desarrollador se equivocó al programar y no se interpretó bien el código de salida. Así, un código de retorno negativo que indica un error se convertía en un código de retorno distinto de 0 que indica que todo ha ido bien. Este esquema de @0xabad1dea lo explica con más claridad para los que sepáis programación.
Lavabit salió a la palestra cuando se descubrió que era el proveedor de correo electrónico que utilizaba Edward Snowden. Como os comentamos, el servicio se caracterizaba por garantizar una cierta seguridad.
Pues bien, ayer se descubrió que el gobierno estadounidense obtuvo una orden secreta para obtener la clave privada con la que las autoridades podrían obtener los correos de Snowden... y de los otros cuatrocientos mil usuarios del servicio.
Todavía con la resaca del nuevo algoritmo de Google, Panda, tenemos más novedades en el buscador. La primera está relacionada con el idioma: Google empezará a ofrecer resultados de búsqueda en inglés cuando busques en tu idioma.
Hay idiomas que se usan muy poco en la red: por ejemplo, si haces una búsqueda en suajili encontrarás muy pocos resultados. Google pretende quitar la barrera del idioma, y empezará a ofrecer algunos resultados en inglés. Si Google encuentra páginas inglesas que son relevantes para tu búsqueda, entonces aparecerán algunas entre los resultados habituales. Desde ahí, puedes ir tanto a la versión original como a la traducida.
Una importante vulnerabilidad ha sido descubierta en el protocolo SSL (Secure Sockets Layer), que protege la mayoría de los sitios Web. El agujero de seguridad permite a los atacantes descifrar los datos que se pasan entre un servidor Web y el navegador del usuario.
La vulnerabilidad reside en las versiones 1.0 y anteriores de TLS (Transport Layer Security), base de confianza en la seguridad de las conexiones en Internet. Aunque las versiones 1.1 y 1.2 de TLS, no son vulnerables, la mayoría de los navegadores y sitios Web no las soportan. Por este motivo, las transacciones cifradas en portales como PayPal, GMail y otros muchos, son vulnerables al espionaje de los hackers, que pueden controlar la conexión entre el usuario final y el sitio web que está visitando.
Si asistes a una charla sobre seguridad en internet seguro que, más bien pronto que tarde, aparecerá una frase parecida a: asegúrate que, cuando entras a tu banco, al principio de la barra de dirección puedes ver las siglas https. Y es cierto, tenemos que echar un ojo, pero ¿por qué?
Muchas veces la explicación se reduce a decir que se establece una conexión segura, y no es falso, pero la verdad es que podremos entender con un poquito más de profundidad en qué consiste HTTPS, y no hace falta hacerlo con palabras complicadas, ni enrollarnos durante media hora.
En Genbeta hablamos de software e Internet, y algunos de esos artículos hablan de seguridad informática: vulnerabilidades en aplicaciones, ataques a servidores, protocolos poco seguros… Por eso, hoy en Genbeta vamos a tratar, sin entrar en detalles técnicos, algunos temas de seguridad informática.
Como en todo, conviene saber sobre qué estamos trabajando (Internet en este caso), y cómo protegemos nuestra seguridad. Y qué mejor lugar que Genbeta (tanto en artículos como en los comentarios) para entrar un poco en materia. Aunque no soy un experto en seguridad, voy a tratar de explicaros algunos conceptos básicos de la seguridad en Internet y cómo nos afectan como usuarios.
Para poder hacer uso de esta seguridad mejorada simplemente tenemos que ir a https://www.hotmail.com (recordando poner una “s” después del “http”). Una vez ahí se nos preguntará si queremos usar la seguridad SSL sólo esta vez, o siempre. Si elegimos esta última opción, se nos redirgirá a al sitio HTTPS cada vez que iniciemos sesión en Hotmail, Calendario o Contactos. Eso sí, se nos advierte que de elegir que el SSL para toda la sesión se active automáticamente, tendremos problemas usando Hotmail con clientes de correo, como Outlook Connector, Windows Live Mail, o los clientes de Nokia y Windows Mobile.
En resumen, si solemos acceder a Hotmail a través de clientes o smartphones, no nos conviene elegir que la seguridad SSL se active automáticamente, sino que sólo dejarla para cuando ingresemos a Hotmail vía web, usando un ordenador público (basta con escribir “https” en vez de “http” al principio de la dirección). En cambio, si no usamos clientes, es recomendable pedir que el SSL esté siempre activado, para así evitar que se nos olvide acceder vía HTTPS.
Vía | LiveSide
Enlace | Opciones de SSL en Hotmail
En Genbeta | Hotmail incorpora características de seguridad para impedir el ‘secuestro’ de cuentas, Nuevo Hotmail a fondo
