Filtración de 23000 certificados HTTPS

Se ha publicado la noticia de que han sido filtrados un total de 23000 certificados HTTPS. Una filtración que pone en riesgo las comunicaciones de cualquier usuario de la red con cualquier sitio web de la filtración.

Extraída de Hispasec Sistemas

HTTPS es un protocolo por el cual las comunicaciones (conexiones) entre usuario y sitio web son cifradas a través de un certificado que certifica que la entidad con la que estás estableciendo las comunicaciones es la que es, impidiendo que estas comunicaciones puedan ser leídas por agentes externos o intermediarios en la comunicación. Simplificado, HTTPS no es más que HTTP al cual se le añade una capa seguridad (cifrado) SSL/TLS. 

La filtración parece haberse producido a través de un correo electrónico por un CEO de “Trustico” a un vicepresidente de “Digicert”. Al parecer este correo venía con un adjunto que contenía hasta 23000 claves privadas de dichos certificados.



Trustico es una empresa que revende y gestiona certificados TLS de sitios web con sede en Reino Unido. Una empresa que ya rompió relaciones con Symantec por evitar algunas prácticas de seguridad similares, y que ahora ha vuelto ha hacer lo mismo



Si ya de por sí, es una mala práctica de seguridad el enviar claves privadas por correo electrónico, a esta se le suma el almacenaje de las claves privadas de los certificados. Una práctica que no debe realizar ninguna entidad certificadora, práctica que justificó la empresa por motivos de revocación



‘Trustico allows customers to generate a Certificate Signing Request and Private Key during the ordering process,” the statement read. “These Private Keys are stored in cold storage, for the purpose of revocation.’

 

Este hecho que traerá trabajo para los navegadores de Internet, deja en entredicho la seguridad de muchos sitios web y comercios electrónicos que pudieran estar gestionados por esta compañía, y que seguro que nos traerá noticias en los próximos días.

El mayor ataque DDoS de la historia mitigado en minutos

El 28 de Febrero, GitHub recibió el mayor ataque de denegación de servicio hasta la fecha y logró resolverlo en 8 minutos.

Es increible pero cierto, a pesar de nadie darse cuenta, GitHub fue atacada el pasado Miércoles. Sorprendentemente, la plataforma fue capaz de mitigarlo en minutos sin que los usuarios tuvieran afectación alguna.

Como vemos en la imagen, el pico de tráfico de este ataque llegó a los 1,35Tbpsenviados a través de 126,9 millones de paquetes por segundo.

A diferencia del resto de ataques DDoS que solemos ver, este no utilizó ninguna botnet para realizarse, sino que hizo uso de los servidores memcached para aumentar la fuerza del ataque original.

Los servidores memcached son utilizados para el almacenamiento en caché de datos u objetos en la memoria RAM, reduciendo así la necesidad de acceso a un origen de datos externo, y con ello aumentando la velocidad de trabajo usual.

Estos servidores no están preparados para estar expuestos en línea. Según la empresaWIRED, hay alrededor de 100.000 servidores memcached accesibles en internet los cuáles no requieren de autenticación. Cualquier atacante puede acceder a ellos, enviar un paquete y el servidor responderá con una respuesta mucho mayor.

Una de las maneras más sencillas de mitigar el abuso de estos servidores es mediantefirewall, limitando la velocidad de los paquetes UDP de salida.

La empresa encargada de mitigar el ataque a GitHub fue Akamai ProlexicProlexicse hizo cargo como intermediario enrutando todo el tráfico que entraba y salía de GitHub, y enviaba los datos a través de sus centros de depuración para eliminar y bloquear los paquetes maliciosos. A los 8 minutos los atacantes cedieron y pararon el DDoS.

A pesar de no haber habido un gran destrozo, este ataque muestra los peligros que implican los servidores memcached expuestos. Esperemos que los dueños de este tipo de servidores tomen conciencia y apliquen las medidas necesarias para que no vuelva a ocurrir.