Vulnerabilidades en el protocolo criptográfico de conexión TLS

Por qué su conexión TLS podría no ser tan segura como cree

El protocolo criptográfico Transport Layer Security (TLS) es la columna vertebral del cifrado en Internet. Evita el espionaje, la manipulación y la manipulación de mensajes entre dos puntos finales de red que se comunican.

TLS protege muchos tipos de comunicación por Internet, incluida la navegación web, el correo electrónico, la mensajería instantánea y la voz sobre IP (VoIP). Sin embargo, una mala configuración en TLS puede abrir las puertas a múltiples vulnerabilidades.

Esta publicación de blog explora los riesgos de las configuraciones incorrectas de TLS, los problemas generales con TLS que enfrentan los ingenieros de seguridad de redes y cómo una solución puede resolver todos sus problemas.

TLS es el sucesor del protocolo Secure Sockets Layer (SSL). El protocolo TLS proporciona una transmisión segura a través de redes informáticas como Internet. Los navegadores web y los servidores web suelen utilizar TLS/SSL.

El protocolo garantiza la confidencialidad entre las aplicaciones que se comunican, la integridad de los datos y la autenticidad de los interlocutores de la comunicación. TLS puede autenticar un servidor, cifrar datos y garantizar que un mensaje no haya sido manipulado durante la transmisión.

Aunque TLS ofrece una seguridad mucho mejor que el viejo SSL, enfrenta una buena cantidad de intentos maliciosos por parte de delincuentes que intentan obtener acceso a los datos confidenciales de las organizaciones. Por lo tanto, es importante entender cómo los malhechores usan TLS para eliminar malware.

No hace falta decir que TLS no es responsable de proteger sus datos en su destino; en cambio, simplemente garantiza el paso seguro de sus datos a través de Internet, asegurando que los datos en tránsito no puedan ser espiados o alterados de ninguna manera.

Los atacantes apuntan cada vez más a las conexiones TLS para colocar malware, realizar otras actividades maliciosas y explotar sus debilidades para atacar a los usuarios de Internet. Este protocolo tiene vulnerabilidades significativas, la mayoría de las cuales afectan a TLS v1.2 y versiones anteriores. Incluso TLS v1.3 no es perfecto, ya que la mayoría de las vulnerabilidades se basan en ataques forzados a la degradación.

Cuando se usa TLS, es probable que la información enviada a través de la conexión no sea inspeccionada o monitoreada en el punto final. Esto se debe a que TLS usa algoritmos de cifrado para codificar los datos en tránsito, por lo que se supone que es seguro; sin embargo, los piratas informáticos pueden aprovecharlo. Debido a que todos piensan que son lo suficientemente seguros, los piratas informáticos del otro lado pueden explotar varias vulnerabilidades en TLS para espiar el tráfico (lo que puede generar pérdidas financieras y comerciales) e incluso lanzar malware.

Uno de los riesgos de seguridad TLS más comunes es el uso de cifrados débiles. Los atacantes pueden descifrar fácilmente cifrados débiles, lo que les permite acceder a datos confidenciales. Algunas otras vulnerabilidades de TLS incluyen Padding Oracle on Downgraded Legacy Encryption (POODLE), man-in-the-middle (MITM), etc.

POODLE es una falla de seguridad en el protocolo SSL 3.0. Esta falla permite a los atacantes descifrar los datos cifrados mediante SSL 3.0, que todavía utilizan algunos sitios web y navegadores.

Un actor malicioso puede llevar a cabo un ataque MITM al interceptar su tráfico mientras intenta iniciar un protocolo de enlace TLS con un servidor de aplicaciones. Luego pueden hacerse pasar por el servidor hasta que usted acepte degradar la conexión a SSL v3.0. Dado que la vulnerabilidad se encuentra en el modo Cipher Block Chaining (CBC), el servidor ignora el contenido dentro del relleno. En otras palabras, el servidor no comprueba si alguien ha manipulado el contenido de relleno.

Otro ejemplo es Browser Exploit Against SSL/TLS (BEAST), que descifra los datos cifrados por el cifrado de flujo RC4. Otra vulnerabilidad similar, enumerada como CVE-2011-3389 en el National Institute of Standards and Technology (NIST) National Vulnerability Database (NVD), aprovecha la implementación del modo Cipher Block Chaining (CBC) en TLS v1.0, que también puede verse afectado por degradaciones forzadas. Inundar la transmisión TLS con paquetes maliciosos es otro ejemplo de un ataque MITM.

Hay varios otros ejemplos, como Compression Ratio Info-leak Made Easy (DELITO), reconocimiento del navegador y exfiltración a través de la compresión de hipertexto adaptativa (INCUMPLIMIENTO), Heartbleed, Lucky Thirteen, renegociación de denegación de servicio (DoS), etc. De esta lista, puede concluir que aunque TLS es esencial para la transmisión segura de datos, si no se configura correctamente, puede hacer más daño que bien a la red de su organización. Hay soluciones disponibles para la mayoría de estas vulnerabilidades que se utilizan para mitigar los riesgos. Sin embargo, es demasiado esfuerzo manual probar las vulnerabilidades y luego corregirlas.

Una solución de seguridad de red robusta que combata todos estos problemas parece ser la mejor manera de proteger de manera inteligente su infraestructura en la nube contra múltiples amenazas. Aquí es donde entra Trend Micro.

Trend Cloud One puede ayudarlo a eliminar todos los problemas anteriores y más. Es con total transparencia:

• Se implementa en la arquitectura existente
• Inspecciona el tráfico entrante y saliente
• Detecta y previene intrusiones

Ya sea que su infraestructura esté en Amazon Web Services (AWS) o Azure, Cloud One tendrá su Sistema de prevención de intrusiones (IPS), un dispositivo virtual, ubicado en el medio de su red que recibe, descifra e inspecciona de manera transparente su tráfico para detectar y prevenir intrusiones al detener el flujo y alertarlo mediante un sistema de administración de eventos e información de seguridad (SIEM) cuando se detecta actividad maliciosa a lo largo de la línea de transmisión, protegiendo así su red de manera efectiva contra piratas informáticos.

Trend Cloud One utiliza IPS con TLS Session Key Intercept para descifrar información e inspeccionar datos sin ninguna configuración, sin necesidad de importar certificados y credenciales. Esta característica está lista para usar con Trend Cloud One – Network Security and Workload Security, que ofrece más que una implementación de inspección SSL heredada. No es necesario implementar manualmente la configuración de las credenciales TLS y admite más funciones, incluidos los cifrados Perfect Forward Secrecy (PFS).

Aunque los ataques de día cero y las vulnerabilidades se descubren con bastante frecuencia, no tiene que preocuparse, ya que varios equipos de ingenieros de seguridad e investigadores de seguridad de Trend continúan investigando nuevas vulnerabilidades y parches que se implementan para todos los usuarios. Usted y su equipo pueden continuar enfocándose en lograr sus objetivos comerciales mientras Trend Cloud One se encarga de la reparación automática de vulnerabilidades.

Conclusión

Un usuario típico de Internet, incluso si no siempre es consciente de ello, hace muchas cosas en línea que requieren confiar en los demás. Desde enviar nuestros datos médicos a un médico en línea hasta hacer compras en línea, confiamos en las conexiones TLS para mantener nuestros datos seguros. Ya sea una pequeña empresa o una multinacional, garantizar que la conexión TLS sea segura es esencial.

TLS es una actualización del estándar de seguridad anterior, SSL, y ha recorrido un largo camino en términos de seguridad. Sin embargo, algunas fallas se revelan si usa TLS sin monitoreo en tiempo real.

Para asegurarse de que los millones de solicitudes entrantes estén seguras al monitorear cada una y garantizar que el tráfico sea seguro, considere dejar que Trend Cloud One se encargue de su red y carga de trabajo, ya sea que su infraestructura esté basada en AWS o Azure.

Obtenga más información sobre cómo proteger TLS con Trend Cloud One.