Category Archives: Website Security

Proteja su sitio web y mejore su posicionamiento en Google con Always On SSL

Websites using https boosted in google rankings

Las pymes ofrecen una mezcla inigualable de iniciativa, inventiva y atención al cliente; para muchos, son el pilar que sustenta el comercio global.

Hoy en día, las pymes deben competir contra rivales de todos los tamaños en el mercado virtual. Por suerte para ellas, el éxito de una empresa en Internet no depende de la superficie de su oficina, sino de su competitividad. De hecho, la agilidad de las pymes hace que sean las primeras en sacar partido de las plataformas digitales (comercio online, posicionamiento en buscadores, redes sociales, dispositivos móviles…). Gracias a Internet, las pymes pueden impresionar a sus clientes y dar a conocer su marca con un presupuesto muy limitado, aunque su mercado esté dominado por competidores de mayor renombre y presupuesto.

Una de las iniciativas que puede ayudar a las pymes a adelantarse a sus rivales en el mundo digital es adoptar el sistema Always On SSL de Symantec, también conocido como «HTTPS Everywhere». Esta tecnología de seguridad está al alcance de cualquier presupuesto y está especialmente indicada para pymes que operan a través de Internet. Además, cuenta con el respaldo de empresas clave de la esfera digital, como Google, PayPal, Facebook, Twitter y Microsoft. Siga leyendo para descubrir este tipo de SSL, que le ayudará a proteger los datos en tránsito y a mejorar su posicionamiento en los buscadores.

Descargue hoy mismo nuestras infografías

 

UNA SOLUCIÓN SSL COMPLETA, CORTESÍA DE SYMANTEC

Imagínese que sale de casa y cierra la puerta principal, pero se deja la puerta trasera abierta de par en par. Algo así ocurre cuando una empresa decide proteger con SSL solo algunas partes de su sitio web, como las páginas de inicio de sesión y pago. Muchas empresas creen que este tipo de seguridad —también conocido como «SSL intermitente»— las protege adecuadamente contra los hackers y fugas de datos, pero en realidad deja todo el resto de su sitio web expuesto y vulnerable ante ataques como el «sidejacking».

Por suerte, existe una solución para proteger el conjunto del sitio web y garantizar la seguridad de los clientes: la tecnología Always On SSL de Symantec.

 

ALWAYS ON SSL: SEGURIDAD Y CONFIANZA CONTINUAS

Como integrante de la Online Trust Alliance y del Certification Authority/Browser (CAB) Forum, Symantec es un firme partidario de la tecnología Always On SSL. Al contrario que el SSL intermitente, que se limita a proteger partes específicas del sitio web, este sistema hace que todas las comunicaciones entre un sitio web y un usuario se efectúen mediante el protocolo HTTPS y estén protegidas por un certificado SSL. Adoptar el protocolo HTTPS en todas las páginas es la única forma de garantizar que todas las interacciones entre el sitio web y el visitante, desde que este llega hasta que se marcha, estén cifradas. Si solo protege con HTTPS las páginas de inicio de sesión y pago, los hackers podrán robar las cookies donde se almacenan las sesiones abiertas del usuario para acceder a todo tipo de información confidencial. De hecho, existen herramientas diseñadas especialmente para explotar este tipo de vulnerabilidades, como Firesheep (usada para ataques de sidejacking) y SSLStrip. En definitiva, por mucho dinero y esfuerzo que invierta en proteger las secciones clave de su sitio web con SSL intermitente, todo su trabajo puede caer en saco roto mientras siga teniendo páginas (y cookies) desprotegidas.

SSL secure sites get ranking boost

 

El COSTE DE LAS FUGAS DE DATOS

Bastan unas pocas cifras para poner de relieve la importancia económica de la protección integral de datos: a lo largo de 2012 se produjeron casi 35 000 fugas de datos solo en EE. UU.; a escala mundial, la cifra supera las 100 000. El coste para las empresas estadounidenses fue de 5,4 millones de dólares, entre gastos directos (contratación de expertos en informática forense, atención telefónica a los clientes afectados…) e indirectos (auditorías, comunicación interna, pérdida de clientes, etcétera). Estas fugas de datos se debieron en su mayoría a ataques malintencionados o criminales, y a menudo podrían haberse anticipado y evitado si las empresas afectadas hubiesen usado Always On SSL.

* Ponemon Institute, 2013 Cost of Data Breach Study: Global Analysis.

 

GOOGLE VALORA MÁS LOS SITIOS PROTEGIDOS CON HTTPS O ALWAYS ON SSL. ¿Y USTED?

La tecnología Always On SSL (y, más concretamente, el cifrado HTTPS integral) recibió recientemente un fuerte espaldarazo por parte de Google. En un post del pasado 6 de agosto en su blog sobre seguridad en Internet, el motor de búsqueda anunció su intención de dar más «peso» (es decir, un mejor posicionamiento) a los sitios web que usen el protocolo HTTPS en todas sus páginas. Según Zineb Ait Bahajji y Gary Illyes, analistas de tendencias de administración web de Google, la razón es muy sencilla: «queremos animar a los administradores a pasar de HTTP a HTTPS para proteger a todos los usuarios de Internet. Una de nuestras principales aspiraciones es conseguir que todos los sitios web a los que accedan los usuarios a través de Google sean seguros». Por si la idea no hubiera quedado clara, añadieron: «esperamos ver más sitios web protegidos con HTTPS en el futuro». Con esta iniciativa, Google pretende conseguir que las empresas mejoren sus medidas de seguridad en Internet y, al mismo tiempo, ayuden a proteger los datos que circulan por la web. Si desea ver una presentación de Google sobre la importancia y las consecuencias de adoptar HTTPS, haga clic aquí.

 

ADOPTAR HTTPS AYUDA A LAS PYMES A COMPETIR

Las pymes que protegen su sitio web con HTTPS disfrutan de varias ventajas que les permiten competir mejor en Internet:

• Consiguen un mejor posicionamiento en los resultados de Google, especialmente frente a empresas de mayor tamaño que tal vez aún no hayan dado este paso. Si sus rivales ya lo han hecho, adoptar el protocolo HTTPS les permite competir en igualdad de condiciones.

• La tecnología Seal-in-Search™ de los certificados de Symantec les permite aprovechar aún más este posicionamiento, ya que hace que la marca de confianza más conocida de Internet aparezca junto a su enlace en los resultados de la búsqueda.

• Al demostrar su compromiso con la seguridad en Internet, mejoran su imagen de marca y su reputación.

• La percepción de seguridad aumenta el volumen de las transacciones y las tasas de conversión.

• Los usuarios están protegidos durante todas sus interacciones con el sitio web, no solo al iniciar sesión y al pagar.

• En combinación con los certificados Extended Validation, proporcionan un indicador visual que inspira la máxima confianza.

Symantec cuenta con un amplio catálogo multimarca de soluciones SSL para empresas de todo tipo. Nuestros comerciales le ayudarán a elegir la solución Always On SSL más adecuada a sus necesidades, ya sea un certificado SSL estándar, un certificado Wildcard o SAN o un certificado con Extended Validation, que hace que la barra de direcciones se ponga de color verde y muestre el nombre de su titular. Todos nuestros productos ofrecen los máximos niveles de cifrado y seguridad para la información en tránsito, ya se trate de credenciales de autenticación, cookies, datos financieros…

 

HA LLEGADO LA HORA DEL ALWAYS ON SSL

La tecnología Always On SSL cuenta desde hace años con el respaldo de los gigantes del sector, como Microsoft, PayPal, Facebook y Twitter. Al igual que Symantec, estas empresas forman parte de la Online Trust Alliance (OTA), cuyo cometido es informar a los internautas, aumentar la confianza en la web y fomentar la innovación y la vitalidad de Internet. Tal y como señala el libro blanco de la OTA, «todos debemos trabajar en equipo para implantar las prácticas recomendadas de seguridad online y proteger a los consumidores. La evolución de la seguridad en Internet ha alcanzado un punto de inflexión, y los sitios web deben cambiar para conservar la confianza de los consumidores y asegurar la protección integral de las transacciones». No en vano, uno de los beneficios más importantes de la tecnología Always On SSL es la tranquilidad que proporciona a los clientes.

 

COMPLETE LA SEGURIDAD DE SU SITIO WEB

He aquí los pasos que debe seguir para proteger de forma integral su sitio web con HTTPS y Always On SSL:

1) Imponga el uso del protocolo HTTPS en todas las páginas

Al activar HTTPS en todas las secciones de su sitio web, protegerá la identidad de sus clientes, así como sus datos personales y sus cookies. Infórmese aquí.

2) Compruebe que sus certificados SSL están bien configurados

Para activar el protocolo HTTPS, debe tener un certificado SSL/TLS válido y emitido por una autoridad de certificación de confianza, como Symantec. Así, sus clientes sabrán que el propietario de su dominio está verificado y autenticado por una entidad fiable. Infórmese aquí.

3) Active la marca de seguridad en todas las cookies de sesión

Las cookies de sesión pueden incluir una marca de seguridad opcional que obliga al navegador a usar el protocolo HTTPS cada vez que las transmita al servidor de origen. Así conseguirá una protección fiable y proactiva, y además dispondrá de información más detallada sobre el tráfico de cookies.

4) Potencie la confianza y la seguridad con los certificados Extended Validation

No hay nada como los certificados SSL con Extended Validation (EV) de Symantec para convencer a sus clientes de la seguridad de su sitio web. Al acceder a un sitio web con un certificado EV, la barra de direcciones se pone de color verde y muestra el nombre de la empresa. Gracias a este indicador visual, los clientes saben que la identidad del propietario ha sido verificada y que pueden continuar con total seguridad.

Para obtener más información, lea estos artículos:

Google Rewards Secure Websites with Higher Search Ranking (blog, en inglés)

Google smiles on safer connections (Internet Retailer, 8 de agosto de 2014, en inglés)

Understanding Always On SSL and SEO (Symantec | Connect, 29 de enero de 2014, en inglés)

 

Types of SSL certificates – choose the right one

Introduction

From the server administrators of highly technological organizations, to product managers of financial institutions, down to the one man startup companies that just want to secure their shopping cart, at one stage or another, the same question pops-up: “They all do the same thing, what should we get?”

Fundamentally all SSL certificates do the same thing, encrypt information during SSL/TLS negotiations. Correctly installed and configured, both https:// and the padlock will show.

However picture this:

You want to buy smart phone online. You see three sellers offering the phone at different prices:

US$250 – Zero star rating – no comments

US$375 – Three star rating – with 50% of comments such as “it arrived late”, “It was scratched” and other 50% of the comments, “ok service” and “arrived on time”.

US$400 – Five star rating – with only good comments: “excellent service” and “fast and reliable”.

Which seller will be most likely to deliver the goods to you on time? The one offering $400?

Why? The comments from previous buyers formed a conscious or sub-conscious decision in your mind. The decision is based on “Trust”. They have been authenticated by real people.

Anyone that purchased from the first two sellers most likely would base their decision on both price and luck (“Maybe I would not be unlucky”).

Here’s another scenario: A hooded man walks out from a dark alley and offer you a brand new IPhone 6, still in its box for US $50.

Do you feel lucky today?

Apache Struts 1 & 2 の脆弱性(S2-020、CVE-2014-0114等)

2014年4月に新たに見つかったApache Strutsの脆弱性(S2-020、CVE-2014-0114等)

このブログではウェブサイトやその上で動作しているウェブアプリケーションの脆弱性について紹介すると共に注意喚起をする目的でまとめられています。
今回は、2014年4月に発見されたApache Strutsの脆弱性について解説をしています。

Perfect Forward Secrecy

      No Comments on Perfect Forward Secrecy

Recent revelations from Edward Snowden about pervasive government surveillance have led to many questions about the safety of communications using the SSL/TLS protocol. Such communications are generally safe from eavesdroppers, as long as certain precautions are observed. For example, configuring your web server to avoid using SSL2 and SSL3, favoring newer versions of TLS like TLS 1.2, selecting strong ciphersuites, etc.

But even if your server is configured properly, you still must secure the private key associated with your SSL certificate. In nearly all cases, the web site owner generates their key pair and sends only the public key to their Certification Authority (CA). The CA (and any eavesdropper) sees only the public key, and the private key cannot be derived from that. So the CA cannot reveal a web site owner’s private key to the government or an attacker, even if coerced to do so.

After your SSL certificate has expired and been replaced with a new key pair and certificate, it’s still important to secure or destroy the old private key, because attackers have the ability to save old SSL-protected traffic. In many cases, an attacker with a private key and saved SSL traffic can use the private key to decrypt all session keys negotiated during saved SSL handshakes, and then decrypt all saved session data using those session keys.

But not if the web server and its clients agree to use a key agreement protocol that offers support for Perfect Forward Secrecy (PFS). First let’s look at how things work without PFS. The client generates a random number and sends it to the server, encrypted it with the public key of the server. Only the server can decrypt it, so now both sides have the same random number. They use a key generation algorithm to derive the session key from that random number. But an attacker who knows the server’s private key can also decrypt the random number, apply the same key generation algorithm, and arrive at the same session key. The attacker can then decrypt any saved SSL session data.

Using PFS, there is no link between the server’s private key and each session key. If both client and server support PFS, they use a variant of a protocol named Diffie-Hellman (after its inventors), in which both sides securely exchange random numbers and arrive at the same shared secret. It’s a clever algorithm that prevents an eavesdropper from deriving the same secret, even if the eavesdropper can view all the traffic. See this Wikipedia article for a clear explanation of how this works, and this blog post for a more detailed technical explanation. Note that if the ephemeral variant of Diffie-Hellman is used, no part of the exchange is encrypted with the web server’s private key. That means that an attacker who obtains the private key cannot decrypt any saved sessions that were established using PFS.

The variants of Diffie-Hellman are known as Diffie-Hellman Ephemeral (DHE) and Elliptic Curve Diffie-Hellman Ephemeral (ECDHE). You’ll see those terms within the names of TLS ciphersuites that can be configured for use in your web server. For example, Ivan Ristić of SSL Labs recommends the following:

  • TLS_ECDHE_RSA_WITH_RC4_128_SHA
  • TLS_ECDHE_RSA_WITH_AES_128_CBC_SHA
  • TLS_ECDHE_RSA_WITH_AES_256_CBC_SHA
  • TLS_ECDHE_RSA_WITH_3DES_EDE_CBC_SHA

Please note that there are more options available which may have to be used as the industry moves to ECC certificates, TLS 1.2 and GCM suites. Also note that you may see ciphersuites with DH (not DHE) and ECDH (not ECDHE) in their names – these are variants of Diffie-Hellman that do not exhibit the Perfect Forward Secrecy property. Only DHE and ECDHE support PFS at this time.

Ristić also provides information on how to configure PFS support on Apache, Nginx and OpenSSL. If you want to see if your server supports PFS, test it at the CA Security Council’s SSL Configuration Checker.

Do the browsers support PFS? Yes they do. At this time, Chrome, Firefox, IE, Opera and Safari all support PFS when using ECDHE cipher suites with RSA and ECC SSL certificates. All browsers except IE also support DHE with RSA certificates. You can also test your browser to see if it supports PFS. If your web site needs to support older browsers that may not support PFS, you’ll have to configure your web server to also offer non-PFS suites. But list PFS suites first in order of preference.

PFS is a mature technology that is built in to nearly all major browsers and web servers. It’s available for use in securing your SSL traffic both now and in the future.

 

Tags: Perfect Forward Secrecy, PFS, SSL, SSL Labs

This blog was originally posted at https://casecurity.org/2014/04/11/perfect-forward-secrecy/ Authors Rick Andrews and Bruce Morton

Brauchen Sie eine eigene private Zertifizierungsstelle?

Haben Sie in Ihrem Intranet Domänennamen wie https://intranet.local oder einen Mailserver mit einer Adresse wie https://mail? Viele Unternehmen und Organisationen nutzen solche Domänennamen intern, doch das wird nun problematisch.

SSL-Zertifikate für Intranets

Symantec und die anderen im CA/Browser-Forum zusammengeschlossenen Zertifizierungsstellen (CA) und Browseranbieter haben beschlossen, keine SSL-Zertifikate mehr auszustellen, deren Root-Zertifikat nicht im öffentlich zugänglichen Internet überprüft werden kann.

Das heißt, dass Domänennamen nun weltweit eindeutig sein müssen und nicht nur innerhalb Ihres Intranets. Wenn Sie also beispielsweise eine Domäne mit der Endung .local haben, die Sie intern nutzen, werden Sie dafür bald kein von einer CA ausgestelltes SSL-Zertifikat mehr kaufen können.

Mit der Vergabe neuer gTLDs wie .berlin steigt die Wahrscheinlichkeit, dass weit verbreitete intern genutzte Domänenendungen von Unternehmen gekauft und im öffentlich zugänglichen Internet genutzt werden. Endungen wie .home und .pics wurden bereits beantragt und Anträge für weitere Endungen werden sicher folgen. In Zukunft können nur die Eigentümer dieser gTLDs bei CAs SSL-Zertifikate für sie kaufen.

Dadurch wird die Sicherheit im Internet insgesamt verbessert, doch Unternehmen und Organisationen, die diese neuen gTLDs oder reservierte IP-Adressen für interne Server nutzen, müssen sich nun umstellen.

So bereiten Sie sich auf die Umstellung vor

Wenn Sie in dieser Situation sind, haben Sie drei Möglichkeiten: Sie können die internen Domänennamen durch vollständig qualifizierte Domänennamen ersetzen, selbstsignierte Zertifikate nutzen oder eine private Zertifizierungsstelle (CA) einrichten, um Ihre intern genutzten Domänen zu authentisieren.

Für viele Unternehmen bietet sich die letztgenannte Option an, denn eine private Zertifizierungsstelle erfordert die wenigsten Änderungen an vorhandenen Systemen und ist mit dem geringsten Risiko verbunden.

Das Angebot von Symantec

Vor Kurzem stellte Symantec seine Lösung Private Certification Authority vor. Damit können Sie sowohl die Risiken und versteckten Kosten selbstsignierter Zertifikate als auch die Kosten einer Umstellung Ihres gesamten Intranets auf vollständig qualifizierte Domänennamen vermeiden.

Untitled-1-DE.png

 

Die Lösung beruht auf der robusten Infrastruktur von Symantec und ist für ein breites Anforderungsspektrum geeignet, vom Ausstellen von SSL-Zertifikaten für einzelne, in Intranets genutzte Domänen über Wildcard-Zertifikate bis hin zu selbstsignierten Zertifizierungsstellen. Zudem stellt sie eine gehostete private SSL-Zertifikatshierarchie mit speziell auf den Schutz des unternehmensinternen Datenaustauschs zugeschnittenen Endzertifikaten bereit.

Die Konsole von Managed PKI for SSL erleichtert Ihnen das Zertifikatsmanagement, denn sie ermöglicht die Verwaltung öffentlicher und privater Zertifikate an einer zentralen Stelle. So können Sie die mit dem unbemerkten Ablauf von Zertifikaten verbundenen Risiken vermeiden und rechtzeitig neue Zertifikate ausstellen. Doch unabhängig davon, für welche Lösung Sie sich entscheiden, gilt vor allem eins: Die Umstellung sollte so bald wie möglich erfolgen.

¿Necesita su propia autoridad de certificados?

¿Tiene alguna intranet cuyo nombre se parezca a https://intranet.local o algún servidor de correo electrónico con una dirección que comience por https://mail? Estos nombres de dominio de uso interno son muy frecuentes, pero ahora plantean un grave problema.

Certificados SSL para intranet

Symantec, junto con las demás autoridades de certificación y proveedores de navegadores que conforman el CA/Browser Forum, ha decidido dejar de emitir certificados SSL cuya cadena incluya una raíz pública a la que solo se puede acceder desde la red interna de la empresa.

Esto significa que los nombres de dominio tienen que ser únicos en el mundo, no solo en su red. Por lo tanto, si utiliza un dominio .local de forma interna, dentro de poco ya no podrá comprar certificados SSL validados para ese nombre.

Debido a la aparición de nuevos gTLD, como .london, y a la posibilidad de que empresas comerciales adquieran y usen muchos de los nombres que más se suelen utilizar para designar de forma interna a los dominios de servidor (por ejemplo, ya hay solicitudes para .red y .home, aunque seguro que les seguirán muchos más nombres), será imposible que compre un certificado SSL validado para estos gTLD a menos que le pertenezcan.

Si bien se trata de una medida que mejorará la seguridad, genera ciertos desafíos para aquellas empresas cuyos servidores utilizan estos nombres de dominio para uso interno o para direcciones IP reservadas.

Preparativos para el cambio

Entre las alternativas disponibles, se encuentra el cambio a nombres de dominio completos, el uso de certificados autofirmados o la creación de una autoridad de certificación privada para autenticar los nombres de dominio internos.

Para muchas empresas, esta última opción es una magnífica estrategia de preparación para el cambio, ya que es la alternativa que supone menos cambios en los sistemas existentes y la que conlleva menos riesgos.

La propuesta de Symantec

Para crear autoridades de certificación privadas, Symantec ha lanzado la solución Private Certification Authority. Gracias a este producto, evitará los riesgos y los costes ocultos de los certificados autofirmados, así como el gasto que supone cambiar toda la intranet para que utilice nombres de dominio completos.

Untitled-1-ES.png

 

Al utilizar la infraestructura blindada de Symantec, cumple todos los requisitos de los certificados SSL para intranet de un solo dominio, de los certificados comodín y de las autoridades de certificación autofirmadas. Además, ofrece una jerarquía de certificados SSL privada y alojada con certificados de entidad final creados específicamente para proteger las comunicaciones internas.

La consola Managed PKI for SSL contribuye a simplificar la administración de los certificados SSL, ya que le permite gestionar certificados públicos y privados desde un mismo panel de control. Gracias a esto, se reduce el riesgo de que los certificados caduquen de forma imprevista y se pueden emitir nuevos certificados conforme se necesitan.

Si su empresa dispone de servidores internos que utilizan nombres de dominio en desuso, tendrá que hacer algo al respecto más pronto que tarde.

Avez-vous besoin de votre propre autorité de certification privée ?

Vous possédez un site intranet dont le nom de domaine ressemblerait à https://intranet.local ? Ou un serveur de messagerie avec une adresse de type https://mail ? Certes très répandus, ces noms de domaines internes posent néanmoins un réel problème.

Certificats SSL pour intranet

Symantec s’est associé aux autres membres du CA/Browser Forum (autorités de certification et éditeurs de navigateurs Web) pour décider de stopper l’émission de certificats SSL rattachés à une racine publique ne pouvant être vérifiée dans un contexte d’Internet public.

En conséquence, l’unicité des noms de domaines ne doit plus seulement s’appliquer au niveau local (votre réseau), mais aussi au niveau mondial. En clair, si vous utilisez un domaine .local en interne, vous ne serez bientôt plus en mesure d’acheter des certificats SSL validant ce nom de domaine.

On assiste actuellement à l’émergence de nouveaux domaines génériques de premier niveau (gTLD) de type .london et autres, dans le sillage desquels de nombreux noms devraient suivre – les noms .red et .home sont d’ores et déjà en phase d’homologation. Par conséquent, il est fort probable que la plupart des noms communs utilisés pour identifier les domaines de serveurs en interne finiront par être exploités par des plates-formes commerciales. En clair, à moins que vous ne soyez propriétaire de ces gTLD, vous ne pourrez plus acheter de certificat SSL pour la validation de ces domaines.

Malgré les avantages de ce changement en termes de sécurité, il n’en pose pas moins un véritable enjeu pour les entreprises exploitant des noms de domaines internes ou des adresses IP réservées.

Comment se préparer

Face au changement à venir, les entreprises disposent de plusieurs options pour authentifier leurs noms de domaines internes : passage à des noms de domaines entièrement qualifiés, utilisation de certificats auto-signés ou mise en place d’une autorité de certification (AC) privée.

Pour de nombreuses entreprises, la mise en place d’une AC privée représente la meilleure solution car elle est la moins risquée et ne demande qu’un minimum de changements sur les systèmes existants.

La solution Symantec

Récemment annoncée par Symantec, la solution Private Certification Authority permet aux entreprises d’éliminer les risques et coûts cachés des certificats auto-signés, ainsi que les coûts associés au déploiement de noms de domaine Internet complets sur leur intranet.

Untitled-1-FR.png

 

Grâce à l’infrastructure ultra-sécurisée de Symantec, Private Certification Authority répond à n’importe quelle exigence : des certificats SSL intranet mono-domaines aux autorités de certification auto-signée, en passant par les formules Wildcard. Cette solution hébergée offre une hiérarchie SSL privée avec des certificats pour entités finales spécialement conçus pour sécuriser les communications internes.

Côté gestion, Symantec Private Certification Authority vous permet de consolider tous vos certificats SSL privés et publics au sein de la console Managed PKI for SSL. Résultat : vous éliminez les risques d’expiration inopinée de certificats et pouvez émettre de nouveaux certificats selon vos besoins. Pour conclure, si vos serveurs internes exploitent des noms de domaine invalidés, vous devriez envisager une solution au plus vite.

OpenSSL?????Heartbleed?: ??????!

      No Comments on OpenSSL?????Heartbleed?: ??????!

ghp-outbreak-flamer-threat-hero-2.jpg

今週(4/10現在)、広く利用されている暗号ソフトウェアライブラリであるOpenSSL に「Heartbleed」と呼ばれる 脆弱性が見つかりました。(http://heartbleed.com)

OpenSSLは、広く使われるオープンソースの暗号ライブラリで、ApacheやNginxといったウェブサーバやアプリケーションで広く使われています。ウェブサーバで利用中のOpenSSLのバージョンが1.0.1から1.0.1fで脆弱性が含まれており、攻撃者はこの脆弱性を利用してウェブシステムのメモリを覗き見ることができます。このメモリにアクセス出来ることで、SSL暗号通信や個人向けのサービス提供者の通信を復号化し覗き見することができる秘密鍵を攻撃者に渡してしまいます。このメモリにはウェブサイトで利用されているユーザー名やパスワードといった秘匿性の高い情報も含まれます。

「Heartbleed」はSSL/TLS プロトコルに起因する問題ではなく、むしろソフトウェアであるOpenSSLのハートビートの実装バグです。

SSL/TLSプロトコルが破られたわけではありません。インターネット上で暗号通信を行う最高の標準であることに変わりはありません。しかしながら、OpenSSLの利用が幅広いことから、おおよそ66%のインターネットもしくは3分の2のウェブサーバ(参照;Netcraftウェブサーバレポート)がこのソフトウェアを利用しています。OpenSSLを利用している企業は、出来るだけ早くそのバージョンを確認し、影響を受けるバージョンの場合には修正された最新バージョン(1.0.1g)のソフトウェアにアップデートするか、「heartbeat」拡張機能オプションを利用しないで再コンパイルをしないといけません。

世界の認証局のリーダーとしてシマンテックは既に私たちのシステムを更新しました。私たちのルート証明書は危険に直面していません。;しかしながら、基本的なセキュリティ対策(ベストプラクティス)として、問題のバージョンのOpenSSLを利用していたウェブサーバはすべてのSSLサーバ証明書の再発行を行いました。

企業のシステムでOpenSSLを更新するか、再コンパイルをしたら、どのCAが発行したSSLサーバ証明書かに関わらず、サーバからセキュリティの侵害が起こるリスクを軽減するためにすべてのSSLサーバ証明書を入れ替えることをシマンテックは推奨します。

最後に、シマンテックはSSLサーバ証明書とコードサイン証明書の管理画面のパスワードを変更することをお願いしています。改めて、これは基本的なセキュリティ対策(ベストプラクティス)として、システム側の問題を修正したら、ウェブサイトの利用者に対してパスワードの変更を推奨します。この脆弱性による危険を最小化するために、シマンテックはお客様の為に全力を尽くします。

分かりやすくするために、対策として行うべきことを以下にまとめます。

企業向けの注意事項:

•これは OpenSSL ライブラリの脆弱性であり、SSL/TLS プロトコルやシマンテックが発行する「SSL サーバ証明書」の欠陥ではありません。

•OpenSSL 1.0.1 から 1.0.1f を使っている場合には、最新の修正版(1.0.1g)に更新するか、Heartbeat 拡張機能を使わずに OpenSSL を再コンパイルする必要があります。

•修正版の OpenSSL への更新後、脆弱性が悪用されたことで ウェブサーバの「SSL サーバ証明書」が侵害された、または秘密鍵を盗まれたと考えられる場合には、認証局に連絡して「SSL サーバ証明書」の再発行を依頼してください。

•基本的なセキュリティ対策(ベストプラクティス)として、侵入を受けたサーバのメモリから漏えいした可能性を考慮し、エンドユーザのパスワードをリセットすることも検討する必要があります。

消費者向けの注意事項:

• 利用しているサービスプロバイダのサーバが脆弱な場合は、データが第三者に盗み見られた可能性があります。

• 利用しているプロバイダからの通知を見逃さないようにしてください。脆弱性を確認したプロバイダからパスワードを変更するよう連絡があった場合には、指示に従ってパスワードを変更してください。

• たとえパスワードの更新を促す内容であっても、攻撃者からのフィッシングメールである可能性には注意し、公式サイトのドメインを確認したうえで、偽装された ウェブ サイトにアクセスしないように気を付けてください。

以下のページで最新の情報をご確認ください。

http://www.symantec.com/ja/jp/outbreak/?id=heartbleed

自社の管理サーバがHeartbleedの脆弱性を含んでいるかを確認するツールも提供しています。

[Tweet]

Title;ここをクリックしてテキストを入力してください。

Link;ここをクリックしてテキストを入力してください。

Heartbleed in OpenSSL: richiesta azione immediata

ghp-outbreak-flamer-threat-hero-2.jpg

Questa settimana è stata rilevata nella diffusa libreria software crittografica OpenSSL una vulnerabilità denominata “Heartbleed” (http://heartbleed.com). OpenSSL trova larghissimo impiego, in particolare con applicazioni e server Web quali Apache e Nginx. La presenza della vulnerabilità è stata riscontrata nelle versioni da 1.0.1 a 1.0.1f di OpenSSL, sfruttate dagli hacker per leggere la memoria dei sistemi colpiti. L’accesso alla memoria può portare alla violazione delle chiavi segrete, permettendo di decrittografare e intercettare le comunicazioni crittografate con SLL, nonché di impersonare i fornitori di servizi. I dati in memoria possono anche contenere informazioni sensibili, inclusi nomi utente e password.

Heartbleed non è una vulnerabilità intrinseca di SSL/TLS, ma piuttosto un bug software dell’implementazione Heartbeat di OpenSSL. A essere compromessa non è la funzionalità di SSL/TLS e il protocollo rimane lo standard di riferimento per la crittografia dei dati in transito su Internet. Tuttavia, data l’ampia diffusione di OpenSSL, è possibile che circa il 66% dei sistemi Internet o i due terzi dei server Web (stando alle stime del report Netcraft sui server Web) facciano uso di questa libreria software. È auspicabile che le aziende che utilizzano OpenSSL provvedano quanto prima a effettuare l’aggiornamento del software alla versione corretta più recente (1.0.1g) o a ricompilare OpenSSL senza l’estensione Heartbeat.

Quale principale autorità di certificazione del settore, Symantec ha già adottato misure tese a rafforzare la protezione dei propri sistemi. I certificati radice di Symantec non corrono alcun rischio. Sono state tuttavia implementate tutte le best practice applicabili, tra cui la rigenerazione delle chiavi per tutti i certificati sui server Web contenenti le versioni di OpenSSL interessate dalla vulnerabilità.

Una volta che le aziende avranno aggiornato e ricompilato i relativi sistemi, Symantec suggerisce loro di sostituire tutti i certificati, indipendentemente dalla CA emittente, sui server Web per ridurre il rischio di violazioni. Symantec offrirà certificati sostitutivi gratuiti a tutti i clienti.

Symantec invita infine a reimpostare le password delle console di gestione dei certificati SSL e Code Signing. Anche in questo caso, si tratta di applicare una best practice di riconosciuta efficacia e il consiglio che Symantec dà alle aziende è di estendere tale raccomandazione, una volta che abbiano applicato la correzione, ai propri clienti finali, perché facciano altrettanto sui propri sistemi. Nel frattempo, continueremo a collaborare con i nostri clienti per contenere quanto più possibile l’impatto dei rischi di sicurezza che la vulnerabilità comporta.

Forniamo di seguito, per praticità, un riepilogo dei passi da intraprendere:

Per le aziende:

  • Se si utilizzano versioni da 1.0.1 a 1.0.1f di OpenSSL, sarà necessario effettuare l’aggiornamento del software alla versione corretta più recente (1.0.1g) o ricompilare OpenSSL senza l’estensione Heartbeat.
  • Una volta implementata una versione corretta di OpenSSL, occorrerà sostituire il certificato sul server Web.
  • Infine, come best practice, sarà consigliato reimpostare le password degli utenti finali che potrebbero essere state decodificate nelle memorie dei server compromessi.

Per i consumatori:

  • Essere consapevoli del fatto che, se i propri dati si trovavano nei sistemi di un fornitore di servizi vulnerabile, potrebbero essere stati esposti a estranei.
  • Monitorare le comunicazioni dei fornitori di cui si utilizzano i servizi. Se il fornitore vulnerabile invita i clienti a sostituire le proprie password, provvedervi senza esitare.
  • Fare attenzione a possibili e-mail di phishing inviate da hacker, contenenti la richiesta di aggiornare la password, per evitare di venire indirizzati a un sito Web contraffatto. Fare sempre e solo riferimento al dominio ufficiale del sito.

Heartbleed in OpenSSL: Handeln Sie jetzt!

ghp-outbreak-flamer-threat-hero-2.jpg

Letzte Woche wurde eine Schwachstelle mit dem Namen „Heartbleed“ in der beliebten Bibliothek mit Kryptografiesoftware OpenSSL entdeckt (http://heartbleed.com). OpenSSL ist weit verbreitet und wird häufig in Verbindung mit Anwendungen und Webservern wie Apache und Nginx verwendet. Die Schwachstelle ist in den OpenSSL-Versionen 1.0.1 bis 1.0.1f enthalten und ermöglicht es Angreifern, den Arbeitsspeicher der betroffenen Systeme auszulesen. Durch den Zugriff auf den Arbeitsspeicher können die Angreifer Zugang zu privaten Schlüsseln erhalten, wodurch es ihnen möglich wird, SSL-verschlüsselte Kommunikation zu entschlüsseln und mitzulesen und sich als Service-Anbieter auszugeben. Die Daten im Arbeitsspeicher können auch andere vertrauliche Daten wie Benutzernamen und Kennwörter umfassen.

Heartbleed ist keine Schwachstelle von SSL/TLS, sondern ein Softwarefehler in der Heartbeat-Implementierung von OpenSSL. SSL/TLS ist nicht defekt, sondern nach wie vor der Goldstandard für die Verschlüsselung von Daten bei der Übertragung über das Internet. Aufgrund der Beliebtheit von OpenSSL verwenden aber laut dem Netcraft-Bericht über Webserver wahrscheinlich ca. 66 % des Internets, also zwei Drittel der Webserver, diese Software. Unternehmen, die OpenSSL verwenden, sollten daher so schnell wie möglich ein Update auf die neueste, korrigierte Version (1.0.1g) durchführen oder OpenSSL ohne die Heartbeat-Erweiterung neu kompilieren.

Als weltweit führende Zertifizierungsstelle hat Symantec bereits Maßnahmen zum Schutz seiner eigenen Systeme ergriffen. Unsere Root-Zertifikate sind nicht gefährdet, aber wir haben gemäß unseren Best Practices sämtliche Zertifikate auf Webservern, die die betroffenen Versionen von OpenSSL verwendet haben, neu verschlüsselt.

Symantec empfiehlt seinen Kunden, nach der Aktualisierung oder Neukompilierung ihrer Systeme unabhängig vom Aussteller alle Zertifikate auf ihren Webservern zu ersetzen, um das Risiko einer Sicherheitsverletzung zu mindern. Symantec stellt allen seinen Kunden kostenlose Ersatzzertifikate bereit.

Darüber hinaus rät Symantec seinen Kunden, die Kennwörter der Verwaltungskonsole für SSL und Code Signing zurückzusetzen. Dies zählt ebenfalls zu den Best Practices und wir empfehlen allen Unternehmen, auch ihre Kunden dazu aufzufordern, nach der Behebung des Problems auf ihren Systemen dieselben Maßnahmen durchzuführen. Wir werden mit unseren Kunden eng zusammenarbeiten, um die Auswirkungen der Sicherheitsrisiken zu minimieren, die sich durch diese Schwachstelle ergeben.

Zur besseren Übersicht fassen wir die Maßnahmen hier noch einmal zusammen:

Unternehmen:

  • Alle Unternehmen, die OpenSSL verwenden, sollten ein Update auf die neueste, korrigierte Version der Software (1.0.1g) durchführen oder OpenSSL ohne die Heartbeat-Erweiterung neu kompilieren.
  • Ersetzen Sie nach der Umstellung auf eine korrigierte Version von OpenSSL die Zertifikate auf ihren Webservern.
  • Gemäß Best Practice sollten abschließend nach Möglichkeit die Benutzerkennwörter zurückgesetzt werden, da diese im Arbeitsspeicher eines gefährdeten Servers sichtbar gewesen sein können.

Verbraucher:

  • Machen Sie sich bewusst, dass Ihre Daten von unbefugten Dritten eingesehen worden sein können, wenn Sie einen betroffenen Service-Anbieter verwendet haben.
  • Lesen Sie alle Nachrichten der von Ihnen verwendeten Anbieter. Sobald ein betroffener Anbieter seine Kunden dazu auffordert, die Kennwörter zu ändern, sollten Sie dies unverzüglich tun.
  • Fallen Sie nicht auf mögliche Phishing-E-Mails herein, in denen Sie zur Aktualisierung Ihres Kennworts aufgefordert werden. Rufen Sie immer nur den offiziellen Domänennamen der Website auf, um nicht auf eine gefälschte Website zu gelangen.