Documentos de Académico
Documentos de Profesional
Documentos de Cultura
Criterio
Causa
Efecto
Recomendación
Post- implementación de
aplicaciones web de afiliado y
administrador Soporte de Suites de Cifrado Débiles
HALLAZGO DE LA
AUDITORÍA
Condición
Durante la evaluación de ambas aplicaciones web se observó que el
servidor que soporta la aplicación web soporta suites de cifrado no
seguros como parte de la implementación de TLS, esto podría
desencadenar en que un atacante que sea capaz de interceptar una gran
cantidad de tráfico encriptado de la aplicación, podría descifrar
parcialmente el tráfico capturado y obtener información sensible de la
aplicación.
De manera específica, se encontró soporte de suites de cifrado que
utilizan el modo de encriptación simétrica CBC (CipherBlockChaining), el
cual es considerado no seguro debido a que cuenta con vulnerabilidades
en el proceso de rellenado.
Criterio
Dado la norma FIPS 140-2 que describe el cifrado y los requisitos de
seguridad relacionados que los productos de TI deben cumplir para el uso
con datos sensibles. Asimismo, esta garantiza el uso de prácticas de
seguridad sólida, tales como métodos y algoritmos de cifrado aprobados y
de alta seguridad. También, especifica como otros procesos deben estar
autorizados para utilizar el producto y cómo se deben diseñar los módulos
o componentes para interactuar de manera segura con otros sistemas de
la organización que manejen información sensible.
Causa
Efecto
El uso HTTP en la página actual de los afiliados puede generar que uno o varios
atacantes intercepten la información no cifrada.
Recomendación
Se recomienda implementar otro tipo de cifrado, en este caso, se deberá seguir
los siguientes pasos para implementar Apache:
En Debian y en Ubuntu, el archivo a modificar se encuentra en
/etc/apache2/sites-available/, mientras que en RHEL, CentOS, y Fedora,
el archivo a modificar puede encontrarse en httpd -S”
Abrir el archivo de configuración y asegurarse de que las suites de
cifrados habilitados sean considerados criptográficamente seguros.
Reiniciar el servicio de servidor web.