Top Banner

Click here to load reader

Heatbleed y Latch

Dec 28, 2015

ReportDownload

Documents

rosie-paz

HEARTBLEED Y LATCH

HEARTBLEED Y LATCHHEARTBLEEDSe trata de una vulnerabilidad de OpenSSL, que es el sistema de cifrado que utilizan pginas web como Yahoo para evitar que otros vean nuestras contraseas.

Qu es OpenSSL y qu es Heartbleed?OpenSSL es la versin de cdigo abierto de SSL, una librera de software usada para cifrar las comunicaciones entre nuestro navegador, y el servidor donde se aloja el servicio que estemos utilizando. Es, en definitiva, uno de los muchos sistemas que utilizan las compaas para ocultar nuestros datos a ojos de extraos.

Heartbleed es el apodo de una vulnerabilidad conocida como CVE-2014-0160 que afecta a las versiones 10.1 y 10.1f de OpenSSL. Segn han podido comprobar diversos especialistas de seguridad, un hacker puede desarrollar un cdigo que aproveche esa grieta, y robar informacin de usuarios.

Los expertos no se ponen de acuerdo sobre qu datos exactos estn en peligro, pero parece que incluyen direcciones de e-mail, contraseas y hasta nmeros de cuentas bancarias. Los responsables de OpenSSL ya han publicado un parche que soluciona la vulnerabilidad, pero an hay servicios que no han podido aplicarlo.Afecta a casi todo lo que viaja cifrado en Internet: accesos seguros a webs para comprar o hacer gestiones con la administracin, contraseas y nmeros de tarjeta de crdito almacenados en grandes y pequeos negocios de la red, correo electrnico y mensajera en lnea con conexiones securizadas, "cookies" que almacenen informacin confidencial, redes privadas virtuales.Que Afecta?Los usuarios no podemos hacer mucho al respecto. La brecha tiene que ser corregida en los propios servidores de cada pgina web, y cambiar la contrasea de, por ejemplo, nuestra cuenta de Yahoo no ayuda si la brecha sigue estando ah.Que puede hacer el usuario?LATCHLatch es una tecnologa que pretende otorgar al usuario el control de su identidad en la red fortaleciendo la gestin de la autenticacin y mejorando la seguridad de los proveedores de servicios

Latch se basa en la idea de que los diferentes servicios online a los que accede el usuario no tienen por qu estar encendidos de manera constante.

Poder encender y apagar esos servicios de la misma manera que se echa el pestillo a una puerta es, segn su creador Chema Alonso, una manera de garantizar la seguridad digital de los usuarios en una poca en la que se hackea todo.Como funciona?Del lado del usuario Latch es una aplicacin que el usuario se instala en el mvil con un manejo sencillo y no necesita ningn tipo de conocimiento experto.

La idea es que cuando el usuario apaga el acceso a uno de sus servicios, pongamos su cuenta de Facebook, nadie podr acceder a esa cuenta y si lo hace, el usuario recibir una alerta. De esta forma no slo ese est aadiendo una capa extra se seguridad, se est reduciendo la ventana de oportunidades para seres malignos.

El usuario solo necesitar utilizar su Smartphone para "activar" o "desactivar" los servicios pareados con Latch. Para ello es necesario:

La creacin de una cuenta de usuario en Latch por parte del cliente. Esta cuenta ser la utilizada por el usuario para configurar sus estados en las operaciones (establecer a ON u OFF sus cuentas con los proveedores).

El pareado de su cuenta habitual con el proveedor (la cuenta de correo, o de un blog, por ejemplo) que se desea controlar, con la cuenta de usuario de Latch. Este paso permitir a Latch sincronizarse con el proveedor de servicio para ofrecerle la respuesta adecuada (configurada por el usuario) dependiendo del proveedor de servicio y la operacin concreta dentro de l. Por supuesto, el proveedor de servicio debe ser compatible con Latch. Esto permite a los usuarios que lo decidan, aprovechar esta ventaja ofrecida por el proveedor, sin que este deba imponer la solucin a todos sus clientes.Como funciona?Esta diseado para proteger los procesos definidos por cualquier proveedor de servicios para interactuar con sus usuarios. La naturaleza y el uso que se pueda dar a estos procesos son independientes de la proteccin que puede ser proporcionada por Latch.

La idea fundamental sobre la que se estructura esta proteccin es la limitacin del tiempo de exposicin del que dispone un atacante para intentar aprovechar alguno de estos procesos en su propio beneficio. El usuario decidir si sus cuentas estn en ON u OFF e incluso las acciones que se pueden realizar desde ellas. Esto supone que se logre la reduccin de la ventana de tiempo en la que podra suceder un ataque, asociando a cada operacin un control externo. El proveedor de servicio consultar a Latch el estado con el que el usuario ha decido configurar la ejecucin de esta operacin para un momento determinado.Esquema Latch

Latch no sustituye a las contraseas, complementa y fortalece cualquier sistema de autenticacin.Evitar que los datos de autenticacin sean robados es muy complejo. Sin embargo, s que es posible que el usuario tome el control de sus servicios digitales, y reduzca su tiempo de exposicin. "Apagar" el acceso a tu correo, la posibilidad de usar tu tarjeta de crdito, o realizar transacciones online, cuando no est usando. Bloquearlos incluso cuando se conocen las contraseas adecuadas. Latch otorga la posibilidad de que sea el propio usuario quien decida cundo se puede acceder a sus cuentas o usar ciertos servicios. No el proveedor. Ni por supuesto, el atacante.

Latch va a permitir que, incluso si un atacante utiliza un usuario y contrasea robado, una tarjeta de crdito, o cualquier sistema de que necesite una aprobacin, al atacante le sea imposible utilizar esta informacin para hacerse pasar por el usuario fuera de un intervalo definido. En resumen, es posible que el usuario y contrasea que se utilizan para acceder a cualquier servicio, sean (pulsando un botn) solo vlidos durante esos pocos segundos en los que es el propio usuario quien los introduce en el sistema.

Welcome message from author
This document is posted to help you gain knowledge. Please leave a comment to let me know what you think about it! Share it to your friends and learn new things together.