¿Su sitio web está a salvo del ataque FREAK?
La Seguridad Web es un tema de actualidad estos días. Siempre hay algo que mantiene ocupados a los expertos en seguridad y el nombre de las vulnerabilidades es un poco pegadizo como Heart Bleed, Poodle, y ahora Freak Attack .
En esta guía, le explicaré cómo identificar si su sitio web está afectado y el procedimiento para solucionar las vulnerabilidades.
Introducción
Si usted está interesado o no sabe sobre Freak Attack entonces aquí están algunas palabras. Karthikeyan Bhargavan descubrió la vulnerabilidad del ataque FREAK en el INRIA de París.
Se anunció el 3 de marzo de 2015 que la nueva vulnerabilidad SSL/TLS permitiría a un atacante interceptar la conexión HTTPS entre el cliente vulnerable y el servidor y la capacidad de obligarlos a utilizar un cifrado débil. Esto ayudaría a un atacante a robar o manipular datos sensibles.
Compruebe si su servidor es vulnerable
Si su servidor web acepta suites de cifrado RSA_EXPORT, entonces está en peligro. Puede realizar una comprobación de su URL HTTPS en el siguiente enlace
- https://www.ssllabs.com/ssltest/
- https://geekflare.com/tools/tls-scanner
- https://tools.keycdn.com/freak
Solucionar la vulnerabilidad de seguridad del ataque FREAK
Servidor HTTP Apache – puede desactivar las suites de cifrado EXPORT añadiendo lo siguiente en su httpd.conf o archivo de configuración SSL
SSLCipherSuite !EXP
ORT
Puede que ya tenga una línea SSLCipherSuite en su fichero de configuración. Si es así, sólo tiene que añadir ! EXPORT
al final de la línea
Si es nuevo en la configuración, puede leer mi guía Apache Web Server Security & Hardening Guide
Nginx – añada lo siguiente en su archivo de configuración
ssl_ciphers '!EXPORT'
Además, puede utilizar el Generador de configuraciones SSL o la Configuración recomendada por Mozilla para protegerse de las vulnerabilidades SSL/TLS
Como propietario de un sitio web o ingeniero de seguridad, debería realizar regularmente un análisis de seguridad de su sitio web para detectar cualquier nueva vulnerabilidad y recibir una notificación
Puede que también le interese solucionar el ataque Logjam.