Noticias

Para Google Chrome, el 50% de la Banca chilena ya no es segura

noviembre 2, 2015
En Septiembre del año 2014, Google Chome anunció que comenzaría a marcar como inseguros o como obsoletos los sitios que utilicen firmas débiles en sus certificados HTTPS. En la actualidad, el 50% de la Banca en línea chilena utiliza este tipo de certificados. Para Chrome, el hecho de que un algoritmo sea obsoleto se debe […]

En Septiembre del año 2014, Google Chome anunció que comenzaría a marcar como inseguros o como obsoletos los sitios que utilicen firmas débiles en sus certificados HTTPS. En la actualidad, el 50% de la Banca en línea chilena utiliza este tipo de certificados.
Para Chrome, el hecho de que un algoritmo sea obsoleto se debe a que ya existen investigaciones y pruebas de concepto que permiten realizar colisiones.

sha1chromeDesde la versión 39 Chrome comenzó a mostrar alertas respecto a este tipo de certificados, desde la versión 41 en adelante fueron aumentando la visibilidad a las alertas y de acuerdo a lo revisado en la versión 46, los sitios que continuan utilizando firmas débiles ya no se muestran con el candado en la barra de dirección.

chromehttpslockerAdicionalmente, el navegador muestra el mensaje indicando que se está utilizando SHA-1 como algoritmo para firma del certificado con el fin de informar al usuario que su conexión o navegación podría no ser privada.

chromehttpsmsgDe acuerdo a un análisis realizado a los 12 principales bancos del país, se determinó que el 50% de la banca en línea en chile continúa utilizando SHA-1 para firmar sus certificados HTTPS.

Lee aquí el anuncio de Google y su política para “Gradually sunsetting SHA-1“. Para revisar si tu sitio web se ve afectado, existe un sitio web llamado sha1affected.com.

En NIVEL4 hemos creado el siguiente script en bash para que puedas verificar desde la línea de comandos si tu sitio se ve afectado

#!/bin/bash

if [ $# -eq 2 ];
then
	HOST=$1
	PORT=$2
	TARGET=$1":"$2
else
	echo "Se debe especificar HOST y PUERTO"
	echo "USAGE: $0 www.example.com 443"
	exit 1
fi

CERT=$(openssl s_client -connect $TARGET < /dev/null 2>/dev/null | openssl x509 -text -in /dev/stdin | grep "Signature Algorithm"|head -1|awk {'print $3'})
if [ $CERT == "sha1WithRSAEncryption" ];
then
	echo "[+] NOK: $TARGET usa SHA-1 ($CERT)"
else
	echo "[+] OK: $TARGET no utiliza SHA-1 (detectado $CERT)"
fi

Ejemplo de uso:

[n4@labs:~]$ sh sha1check.sh http://www.google.com 443
[+] OK: http://www.google.com:443 no utiliza SHA-1 (detectado sha256WithRSAEncryption)

[n4@labs:~]$ sh sha1check.sh http://www.nic.cl 443
[+] NOK: http://www.nic.cl:443 usa SHA-1 (sha1WithRSAEncryption)
 

chilechromechromiumgooglegoogle chromehttpsseguridadshasha-1sha1

Comparte este Artículo

Artículos relacionados

Noticias
Xen parchea vulnerabilidad critica de hace 7 años
 30 de octubre de 2015

Durante 7 años el software de virtualización Xen, usado por empresas como Amazon y Linode, permitía que un atacante escalara privilegios, accediendo a partes extremadamente sensibles del sistema. El bug ya ha sido catalogado por algunos investigadores como el peor visto dentro de este proyecto Open Source y se ha hecho publico con un parche […]
Noticias
Hackers descubren ZeroDay que afecta la última versión de iOS
 3 de noviembre de 2015

Un grupo de Hackers han descubierto una vulnerabilidad del tipo ZeroDay en la última versión del sistema operativo de iPhone, iOS 9. Esta vulnerabilidad permitiría a un atacante tener acceso de forma remota un iPhone e instalar cualquier APP, algo así como un Jailbreak malicioso y remoto. El ZeroDay fue descubierto en mediante un bug […]