SlideShare una empresa de Scribd logo

SSL instalado... ¿estamos realmente seguros?

Cristián Rojas, MSc., CSSLP
Cristián Rojas, MSc., CSSLP

Presentación sobre HTTPS para la StarTechConf 2013. Temas cubiertos: - Vulnerabilidades en suites de cifrado - Forward Secrecy - Temas a considerar respecto de Autoridades Certificadoras - Consejos práticos

1 de 26
Descargar para leer sin conexión
¿Estamos realmente seguros? Cristián Rojas Especialista en Seguridad de Software
Vulnerabilidades en suites de cifrado
Suites de cifrado Servidor RSA-RC4-SHA Algoritmo de intercambio de llave Cliente Algoritmo de encriptación Algoritmo MAC
Llave de sesión
EXP-RC2-CBC-MD5 EDH-RSA-DES-CBC-SHA AECDH-NULL-SHA
Mitigación admin@secureserver ~$ openssl ciphers -v 'AES !EXP !RC2 !MD5 !DES !aNULL !eNULL' String de configuración ssl_protocols TLSv1 TLSv1.1 TLSv1.2; ssl_prefer_server_ciphers on; ssl_ciphers "AES !EXP !RC2 !MD5 !DES !aNULL !eNULL";
Forward Secrecy
La sesión es segura, pero... Transmisiones anteriores de la sesión INCLUYENDO negociación de llave
Implementando Forward Secrecy DHE DHE DHE +210%* ??? ECDHE * +27% * Indica diferencias en tiempo de respuesta respecto a RSA Fuente: Vincent Bernat, “SSL/TLS & Perfect Forward Secrecy”
Autoridades Certificadoras (CA)
Eligiendo una CA ● ● ● ● Postura frente a la seguridad Enfoque de negocios Herramientas de manejo de certificados Soporte de clientes
SSL is not fucked. CA's are. Autoridad Certificadora
Certificate Pinning restserver1.startechconf.com restserver2.startechconf.com restserver3.startechconf.com
Recomendaciones para el servidor
Ojo con la cadena de certificados CA-1 Certificado servidor Certificado CA intermedia Root CA Certificado Raíz CA CA-1 Root CA Cadena de confianza verificada
TLSv1.2 TLSv1.1 TLSv1.0 SSLv3 SSLv2 Usar protocolos de TLSv1.0 hacia arriba
Proveer una buena lista de suites de cifrado ● ● ● ● Usar algoritmos de encriptación fuertes (128 bits o más) No usar EXPORT ni algoritmos obsoletos Usar ECDHE/DHE para implementar F0rward Secrecy Dar preferencia a la lista de suites de cifrado del servidor
Recomendaciones para la aplicación
Encriptarlo todo ● ● ● Asegurar las cookies (mediante el flag Secure) Usar HTTP Strict Transport Security (HSTS) en lo posible Asegurarse de no usar contenido mezclado (ej. HTML encriptado, pero CSS y JS sin encriptar)
Deshabilitar cache de contenidos sensibles ● ● La cache queda en el disco duro sin encriptar Ejemplos: – Datos de perfil – Cartolas – Mensajes personales
Poner atención a otros aspectos de seguridad ;) Fuente: OWASP Top 10 2013 – https:/ /www.owasp.org
Herramientas y links ● ● ● Qualys SSL Test: https:/ /www.ssllabs.com/ssltest/ Ivan Ristic, “OpenSSL Cookbook”: http:/ /goo.gl/vYAYHS Josh Bleecher Snyder, “Why app developers should care about SSL pinning”: http:/ /goo.gl/fTcLm
Muchas gracias y manténganse seguros ;) http:/ /injcristianrojas.github.io injcristianrojas@gmail.com @InjenieroBarsa

Recomendados

Vc4 nm73 eq#6-tls
Vc4 nm73 eq#6-tlsVc4 nm73 eq#6-tls
Vc4 nm73 eq#6-tlsSaMoCaFlo
 
Qué es ssh
Qué es sshQué es ssh
Qué es sshJULI Vichi
 
Exposicion del tls
Exposicion del tlsExposicion del tls
Exposicion del tlsBrifer Dagua
 
Protocolo ssh
Protocolo sshProtocolo ssh
Protocolo sshJAV_999
 
Guía de configuracion Openvpn
Guía de configuracion OpenvpnGuía de configuracion Openvpn
Guía de configuracion OpenvpnJesús Moreno León
 
Trabajo Final de IMS (IP Multimedia Subsystem)
Trabajo Final de IMS (IP Multimedia Subsystem)Trabajo Final de IMS (IP Multimedia Subsystem)
Trabajo Final de IMS (IP Multimedia Subsystem)Andy Juan Sarango Veliz
 
Sshmarta
SshmartaSshmarta
Sshmartagh02
 
Tecnologías libres para túneles y VPNs
Tecnologías libres para túneles y VPNsTecnologías libres para túneles y VPNs
Tecnologías libres para túneles y VPNsRodolfo Pilas
 

Recomendados

Vc4 nm73 eq#6-tls
Vc4 nm73 eq#6-tlsVc4 nm73 eq#6-tls
Vc4 nm73 eq#6-tlsSaMoCaFlo
 
Qué es ssh
Qué es sshQué es ssh
Qué es sshJULI Vichi
 
Exposicion del tls
Exposicion del tlsExposicion del tls
Exposicion del tlsBrifer Dagua
 
Protocolo ssh
Protocolo sshProtocolo ssh
Protocolo sshJAV_999
 
Guía de configuracion Openvpn
Guía de configuracion OpenvpnGuía de configuracion Openvpn
Guía de configuracion OpenvpnJesús Moreno León
 
Trabajo Final de IMS (IP Multimedia Subsystem)
Trabajo Final de IMS (IP Multimedia Subsystem)Trabajo Final de IMS (IP Multimedia Subsystem)
Trabajo Final de IMS (IP Multimedia Subsystem)Andy Juan Sarango Veliz
 
Sshmarta
SshmartaSshmarta
Sshmartagh02
 
Tecnologías libres para túneles y VPNs
Tecnologías libres para túneles y VPNsTecnologías libres para túneles y VPNs
Tecnologías libres para túneles y VPNsRodolfo Pilas
 
Tutorial Instalacion Openvpn
Tutorial Instalacion OpenvpnTutorial Instalacion Openvpn
Tutorial Instalacion OpenvpnPedro Luis Pantoja González
 
Protocolos de seguridad ssl
Protocolos de seguridad sslProtocolos de seguridad ssl
Protocolos de seguridad sslnorelysmunoz
 
18 open ssh
18 open ssh18 open ssh
18 open sshAprende Viendo
 
OpenVPN: una solución VPN basada en SSL/TLS
OpenVPN: una solución VPN basada en SSL/TLSOpenVPN: una solución VPN basada en SSL/TLS
OpenVPN: una solución VPN basada en SSL/TLSJesús Moreno León
 
OpenVPN como solución de Redes Privadas Virtuales Corporativas
OpenVPN como solución de Redes Privadas Virtuales CorporativasOpenVPN como solución de Redes Privadas Virtuales Corporativas
OpenVPN como solución de Redes Privadas Virtuales CorporativasRommel León
 
Servidor DNS Dinámico en Ubuntu Server 16.04 LTS
Servidor DNS Dinámico en Ubuntu Server 16.04 LTSServidor DNS Dinámico en Ubuntu Server 16.04 LTS
Servidor DNS Dinámico en Ubuntu Server 16.04 LTSDiego Montiel
 
OpenVPN
OpenVPNOpenVPN
OpenVPNBaruch Ramos
 
SSH en Ubuntu - Transferencia Segura
SSH en Ubuntu - Transferencia SeguraSSH en Ubuntu - Transferencia Segura
SSH en Ubuntu - Transferencia SeguraJose Diaz Silva
 
Protocolos de seguridad en internet
Protocolos de seguridad en internetProtocolos de seguridad en internet
Protocolos de seguridad en internetpepe69yoyo
 
Ssh
SshSsh
SshEstebanGonzalez153
 
Presentación de la unidad 1 intro i.s.
Presentación de la unidad 1 intro i.s. Presentación de la unidad 1 intro i.s.
Presentación de la unidad 1 intro i.s. Romario Miranda Paternina
 
Web 1.0 vs 2.0
Web 1.0 vs 2.0Web 1.0 vs 2.0
Web 1.0 vs 2.0OSCAR RAMIREZ
 
¿Por qué las organizaciones no saben aprender? parte 6
¿Por qué las organizaciones no saben aprender? parte 6¿Por qué las organizaciones no saben aprender? parte 6
¿Por qué las organizaciones no saben aprender? parte 6CRISEL BY AEFOL
 
Presentación 1
Presentación 1Presentación 1
Presentación 1josegovar
 
Storytelling, el poder de las historias como elemento de gestión del conocimi...
Storytelling, el poder de las historias como elemento de gestión del conocimi...Storytelling, el poder de las historias como elemento de gestión del conocimi...
Storytelling, el poder de las historias como elemento de gestión del conocimi...CRISEL BY AEFOL
 
Educacion 2.0
Educacion 2.0Educacion 2.0
Educacion 2.0Angel Torres
 
vlan
vlanvlan
vlanDarwin Chimbo
 
A jugar
A jugarA jugar
A jugarHerminia Cortes Ponce
 
Actor darinel pineda
Actor darinel pinedaActor darinel pineda
Actor darinel pinedaDarinel Pineda Alhucema
 
Prototipos calculadora
Prototipos calculadoraPrototipos calculadora
Prototipos calculadoraMelida Campo
 
P1 minerva zavalza
P1 minerva zavalzaP1 minerva zavalza
P1 minerva zavalzaluz minerva Zavalza
 
Los sentidos
Los sentidos Los sentidos
Los sentidos alme17
 

Más contenido relacionado

La actualidad más candente

Protocolos de seguridad ssl
Protocolos de seguridad sslProtocolos de seguridad ssl
Protocolos de seguridad sslnorelysmunoz
 
OpenVPN: una solución VPN basada en SSL/TLS
OpenVPN: una solución VPN basada en SSL/TLSOpenVPN: una solución VPN basada en SSL/TLS
OpenVPN: una solución VPN basada en SSL/TLSJesús Moreno León
 
OpenVPN como solución de Redes Privadas Virtuales Corporativas
OpenVPN como solución de Redes Privadas Virtuales CorporativasOpenVPN como solución de Redes Privadas Virtuales Corporativas
OpenVPN como solución de Redes Privadas Virtuales CorporativasRommel León
 
Servidor DNS Dinámico en Ubuntu Server 16.04 LTS
Servidor DNS Dinámico en Ubuntu Server 16.04 LTSServidor DNS Dinámico en Ubuntu Server 16.04 LTS
Servidor DNS Dinámico en Ubuntu Server 16.04 LTSDiego Montiel
 
SSH en Ubuntu - Transferencia Segura
SSH en Ubuntu - Transferencia SeguraSSH en Ubuntu - Transferencia Segura
SSH en Ubuntu - Transferencia SeguraJose Diaz Silva
 
Protocolos de seguridad en internet
Protocolos de seguridad en internetProtocolos de seguridad en internet
Protocolos de seguridad en internetpepe69yoyo
 

La actualidad más candente (10)

Tutorial Instalacion Openvpn
Tutorial Instalacion OpenvpnTutorial Instalacion Openvpn
Tutorial Instalacion Openvpn
 
Protocolos de seguridad ssl
Protocolos de seguridad sslProtocolos de seguridad ssl
Protocolos de seguridad ssl
 
18 open ssh
18 open ssh18 open ssh
18 open ssh
 
OpenVPN: una solución VPN basada en SSL/TLS
OpenVPN: una solución VPN basada en SSL/TLSOpenVPN: una solución VPN basada en SSL/TLS
OpenVPN: una solución VPN basada en SSL/TLS
 
OpenVPN como solución de Redes Privadas Virtuales Corporativas
OpenVPN como solución de Redes Privadas Virtuales CorporativasOpenVPN como solución de Redes Privadas Virtuales Corporativas
OpenVPN como solución de Redes Privadas Virtuales Corporativas
 
Servidor DNS Dinámico en Ubuntu Server 16.04 LTS
Servidor DNS Dinámico en Ubuntu Server 16.04 LTSServidor DNS Dinámico en Ubuntu Server 16.04 LTS
Servidor DNS Dinámico en Ubuntu Server 16.04 LTS
 
OpenVPN
OpenVPNOpenVPN
OpenVPN
 
SSH en Ubuntu - Transferencia Segura
SSH en Ubuntu - Transferencia SeguraSSH en Ubuntu - Transferencia Segura
SSH en Ubuntu - Transferencia Segura
 
Protocolos de seguridad en internet
Protocolos de seguridad en internetProtocolos de seguridad en internet
Protocolos de seguridad en internet
 
Ssh
SshSsh
Ssh
 

Destacado

¿Por qué las organizaciones no saben aprender? parte 6
¿Por qué las organizaciones no saben aprender? parte 6¿Por qué las organizaciones no saben aprender? parte 6
¿Por qué las organizaciones no saben aprender? parte 6CRISEL BY AEFOL
 
Presentación 1
Presentación 1Presentación 1
Presentación 1josegovar
 
Storytelling, el poder de las historias como elemento de gestión del conocimi...
Storytelling, el poder de las historias como elemento de gestión del conocimi...Storytelling, el poder de las historias como elemento de gestión del conocimi...
Storytelling, el poder de las historias como elemento de gestión del conocimi...CRISEL BY AEFOL
 
Prototipos calculadora
Prototipos calculadoraPrototipos calculadora
Prototipos calculadoraMelida Campo
 
Los sentidos
Los sentidos Los sentidos
Los sentidos alme17
 
Libro entorno diverso
Libro entorno diversoLibro entorno diverso
Libro entorno diversoRuben Llano
 
Informe de actividades director red 2007
Informe de actividades director red 2007Informe de actividades director red 2007
Informe de actividades director red 2007Nelsin Sigas
 
Ciencias sociales cultura
Ciencias sociales culturaCiencias sociales cultura
Ciencias sociales culturaNOE123ST
 

Destacado (20)

Presentación de la unidad 1 intro i.s.
Presentación de la unidad 1 intro i.s. Presentación de la unidad 1 intro i.s.
Presentación de la unidad 1 intro i.s.
 
Web 1.0 vs 2.0
Web 1.0 vs 2.0Web 1.0 vs 2.0
Web 1.0 vs 2.0
 
¿Por qué las organizaciones no saben aprender? parte 6
¿Por qué las organizaciones no saben aprender? parte 6¿Por qué las organizaciones no saben aprender? parte 6
¿Por qué las organizaciones no saben aprender? parte 6
 
Presentación 1
Presentación 1Presentación 1
Presentación 1
 
Storytelling, el poder de las historias como elemento de gestión del conocimi...
Storytelling, el poder de las historias como elemento de gestión del conocimi...Storytelling, el poder de las historias como elemento de gestión del conocimi...
Storytelling, el poder de las historias como elemento de gestión del conocimi...
 
Educacion 2.0
Educacion 2.0Educacion 2.0
Educacion 2.0
 
vlan
vlanvlan
vlan
 
A jugar
A jugarA jugar
A jugar
 
Actor darinel pineda
Actor darinel pinedaActor darinel pineda
Actor darinel pineda
 
Prototipos calculadora
Prototipos calculadoraPrototipos calculadora
Prototipos calculadora
 
P1 minerva zavalza
P1 minerva zavalzaP1 minerva zavalza
P1 minerva zavalza
 
Los sentidos
Los sentidos Los sentidos
Los sentidos
 
Equipo7 Arduino
Equipo7 ArduinoEquipo7 Arduino
Equipo7 Arduino
 
Libro entorno diverso
Libro entorno diversoLibro entorno diverso
Libro entorno diverso
 
Covey
CoveyCovey
Covey
 
Cristina Romero -Mi Familia
Cristina Romero -Mi FamiliaCristina Romero -Mi Familia
Cristina Romero -Mi Familia
 
Creacion de Blog
Creacion de BlogCreacion de Blog
Creacion de Blog
 
Tarea 4
Tarea 4Tarea 4
Tarea 4
 
Informe de actividades director red 2007
Informe de actividades director red 2007Informe de actividades director red 2007
Informe de actividades director red 2007
 
Ciencias sociales cultura
Ciencias sociales culturaCiencias sociales cultura
Ciencias sociales cultura
 

Similar a SSL instalado... ¿estamos realmente seguros?

Cisco Cybersecurity Essential cap 4
Cisco Cybersecurity Essential cap 4Cisco Cybersecurity Essential cap 4
Cisco Cybersecurity Essential cap 4Daniel Oscar Fortin
 
Protocolo de redes ssl
Protocolo de redes sslProtocolo de redes ssl
Protocolo de redes sslNANO-06
 
Aws Security Latam - Criptografia con KMS
Aws Security Latam - Criptografia con KMSAws Security Latam - Criptografia con KMS
Aws Security Latam - Criptografia con KMSMario IC
 
Alberto Sagredo voipnovatos- voip2day2011
Alberto Sagredo voipnovatos- voip2day2011Alberto Sagredo voipnovatos- voip2day2011
Alberto Sagredo voipnovatos- voip2day2011Alberto Sagredo Castro
 
Modulo V: Acceso remoto y redes privadas virtuales
Modulo V: Acceso remoto y redes privadas virtualesModulo V: Acceso remoto y redes privadas virtuales
Modulo V: Acceso remoto y redes privadas virtualesJuan Manuel García
 
Webinar Gratuito: "Técnicas para Escaneo de Puertos con Nmap"
Webinar Gratuito: "Técnicas para Escaneo de Puertos con Nmap"Webinar Gratuito: "Técnicas para Escaneo de Puertos con Nmap"
Webinar Gratuito: "Técnicas para Escaneo de Puertos con Nmap"Alonso Caballero
 

Similar a SSL instalado... ¿estamos realmente seguros? (20)

Introducción a la Criptografia
Introducción a la CriptografiaIntroducción a la Criptografia
Introducción a la Criptografia
 
Criptografía para simples mortales
Criptografía para simples mortalesCriptografía para simples mortales
Criptografía para simples mortales
 
Seguridad Y AutenticacióN Con Vb
Seguridad Y AutenticacióN Con VbSeguridad Y AutenticacióN Con Vb
Seguridad Y AutenticacióN Con Vb
 
Curso PKI
Curso PKICurso PKI
Curso PKI
 
HTTPS: Usted, úselo bien.
HTTPS: Usted, úselo bien.HTTPS: Usted, úselo bien.
HTTPS: Usted, úselo bien.
 
Cryptosec I Sistema Hsm
Cryptosec I Sistema HsmCryptosec I Sistema Hsm
Cryptosec I Sistema Hsm
 
Curso pki
Curso pkiCurso pki
Curso pki
 
Redeswifi ii
Redeswifi iiRedeswifi ii
Redeswifi ii
 
Cisco Cybersecurity Essential cap 4
Cisco Cybersecurity Essential cap 4Cisco Cybersecurity Essential cap 4
Cisco Cybersecurity Essential cap 4
 
Protocolo de redes ssl
Protocolo de redes sslProtocolo de redes ssl
Protocolo de redes ssl
 
Aws Security Latam - Criptografia con KMS
Aws Security Latam - Criptografia con KMSAws Security Latam - Criptografia con KMS
Aws Security Latam - Criptografia con KMS
 
Alberto Sagredo voipnovatos- voip2day2011
Alberto Sagredo voipnovatos- voip2day2011Alberto Sagredo voipnovatos- voip2day2011
Alberto Sagredo voipnovatos- voip2day2011
 
Protocolos SSL/TLS
Protocolos SSL/TLSProtocolos SSL/TLS
Protocolos SSL/TLS
 
Modulo V: Acceso remoto y redes privadas virtuales
Modulo V: Acceso remoto y redes privadas virtualesModulo V: Acceso remoto y redes privadas virtuales
Modulo V: Acceso remoto y redes privadas virtuales
 
Pcr2008
Pcr2008Pcr2008
Pcr2008
 
Realsec I Criptografia Y Firma Digital
Realsec I Criptografia Y Firma DigitalRealsec I Criptografia Y Firma Digital
Realsec I Criptografia Y Firma Digital
 
Python Securidad and Criptografia
Python Securidad and CriptografiaPython Securidad and Criptografia
Python Securidad and Criptografia
 
Administración de un router
Administración de un routerAdministración de un router
Administración de un router
 
Webinar Gratuito: "Técnicas para Escaneo de Puertos con Nmap"
Webinar Gratuito: "Técnicas para Escaneo de Puertos con Nmap"Webinar Gratuito: "Técnicas para Escaneo de Puertos con Nmap"
Webinar Gratuito: "Técnicas para Escaneo de Puertos con Nmap"
 
OpenSSH
OpenSSHOpenSSH
OpenSSH
 

Más de Cristián Rojas, MSc., CSSLP

Tu banca móvil, en forma simple y ¿segura? Estado de la seguridad en apps móv...
Tu banca móvil, en forma simple y ¿segura? Estado de la seguridad en apps móv...Tu banca móvil, en forma simple y ¿segura? Estado de la seguridad en apps móv...
Tu banca móvil, en forma simple y ¿segura? Estado de la seguridad en apps móv...Cristián Rojas, MSc., CSSLP
 
Protección de la Información: Una necesidad en los tiempos modernos
Protección de la Información: Una necesidad en los tiempos modernosProtección de la Información: Una necesidad en los tiempos modernos
Protección de la Información: Una necesidad en los tiempos modernosCristián Rojas, MSc., CSSLP
 

Más de Cristián Rojas, MSc., CSSLP (6)

Developers: Ignorance is... bliss?
Developers: Ignorance is... bliss?Developers: Ignorance is... bliss?
Developers: Ignorance is... bliss?
 
Tu banca móvil, en forma simple y ¿segura? Estado de la seguridad en apps móv...
Tu banca móvil, en forma simple y ¿segura? Estado de la seguridad en apps móv...Tu banca móvil, en forma simple y ¿segura? Estado de la seguridad en apps móv...
Tu banca móvil, en forma simple y ¿segura? Estado de la seguridad en apps móv...
 
Protección de la Información: Una necesidad en los tiempos modernos
Protección de la Información: Una necesidad en los tiempos modernosProtección de la Información: Una necesidad en los tiempos modernos
Protección de la Información: Una necesidad en los tiempos modernos
 
Security Testing para Rails
Security Testing para RailsSecurity Testing para Rails
Security Testing para Rails
 
Defensa contra Hackers
Defensa contra HackersDefensa contra Hackers
Defensa contra Hackers
 
Seguridad de Software: Una Introducción
Seguridad de Software: Una IntroducciónSeguridad de Software: Una Introducción
Seguridad de Software: Una Introducción
 

SSL instalado... ¿estamos realmente seguros?