En Septiembre del año 2014, Google Chome anunció que comenzaría a marcar como inseguros o como obsoletos los sitios que utilicen firmas débiles en sus certificados HTTPS. En la actualidad, el 50% de la Banca en línea chilena utiliza este tipo de certificados. Para Chrome, el hecho de que un algoritmo sea obsoleto se debe […]
En Septiembre del año 2014, Google Chome anunció que comenzaría a marcar como inseguros o como obsoletos los sitios que utilicen firmas débiles en sus certificados HTTPS. En la actualidad, el 50% de la Banca en línea chilena utiliza este tipo de certificados.
Para Chrome, el hecho de que un algoritmo sea obsoleto se debe a que ya existen investigaciones y pruebas de concepto que permiten realizar colisiones.
Desde la versión 39 Chrome comenzó a mostrar alertas respecto a este tipo de certificados, desde la versión 41 en adelante fueron aumentando la visibilidad a las alertas y de acuerdo a lo revisado en la versión 46, los sitios que continuan utilizando firmas débiles ya no se muestran con el candado en la barra de dirección.
Adicionalmente, el navegador muestra el mensaje indicando que se está utilizando SHA-1 como algoritmo para firma del certificado con el fin de informar al usuario que su conexión o navegación podría no ser privada.
De acuerdo a un análisis realizado a los 12 principales bancos del país, se determinó que el 50% de la banca en línea en chile continúa utilizando SHA-1 para firmar sus certificados HTTPS.
Lee aquí el anuncio de Google y su política para “Gradually sunsetting SHA-1“. Para revisar si tu sitio web se ve afectado, existe un sitio web llamado sha1affected.com.
En NIVEL4 hemos creado el siguiente script en bash para que puedas verificar desde la línea de comandos si tu sitio se ve afectado
#!/bin/bash if [ $# -eq 2 ]; then HOST=$1 PORT=$2 TARGET=$1":"$2 else echo "Se debe especificar HOST y PUERTO" echo "USAGE: $0 www.example.com 443" exit 1 fi CERT=$(openssl s_client -connect $TARGET < /dev/null 2>/dev/null | openssl x509 -text -in /dev/stdin | grep "Signature Algorithm"|head -1|awk {'print $3'}) if [ $CERT == "sha1WithRSAEncryption" ]; then echo "[+] NOK: $TARGET usa SHA-1 ($CERT)" else echo "[+] OK: $TARGET no utiliza SHA-1 (detectado $CERT)" fi
Ejemplo de uso:
[n4@labs:~]$ sh sha1check.sh http://www.google.com 443
[+] OK: http://www.google.com:443 no utiliza SHA-1 (detectado sha256WithRSAEncryption)
[n4@labs:~]$ sh sha1check.sh http://www.nic.cl 443
[+] NOK: http://www.nic.cl:443 usa SHA-1 (sha1WithRSAEncryption)
Durante 7 años el software de virtualización Xen, usado por empresas como Amazon y Linode, permitía que un atacante escalara privilegios, accediendo a partes extremadamente sensibles del sistema. El bug ya ha sido catalogado por algunos investigadores como el peor visto dentro de este proyecto Open Source y se ha hecho publico con un parche […]
Un grupo de Hackers han descubierto una vulnerabilidad del tipo ZeroDay en la última versión del sistema operativo de iPhone, iOS 9. Esta vulnerabilidad permitiría a un atacante tener acceso de forma remota un iPhone e instalar cualquier APP, algo así como un Jailbreak malicioso y remoto. El ZeroDay fue descubierto en mediante un bug […]