Reprueba En Ciber Seguridad la Milicia de Estados Unidos – Certsuperior
55 5985 - 5000
Av. Santa Fe no. 170, Col. Lomas de Santa Fe,CP. 01210
Reprueba En Ciber Seguridad la Milicia de Estados Unidos – Certsuperior
CertSuperior Banner

Reprueba En Ciber Seguridad la Milicia de Estados Unidos

El departamento de defensa de los Estados Unidos aun muestra una gran falla de seguridad al utilizar un certificado SHA-1 para sus agencias militares, esto a pesar de el uso de dicha encriptación fue derogado desde hace dos años por razones de seguridad. Estos certificados son usados para proteger información y comunicación sensible a través de internet, manteniendo la información secreta y protegida. El nivel de seguridad provisto por estos Certificados DoD es ahora debajo del nivel mínimo de seguridad requerido por los estándares de google para consumirse en la web.
La Agencia de Misiles de Defensa, eventual sucesor del programa “Star Wars”, usa un certificado SHA-1 en una red Juniper con acceso remoto. El Certificado SHA-1 fue emitido por el Departamento de Defensa en febrero de 2015, mucho después que el NIST declare esta practica inaceptable.
US Milicia Star Wars
El Instituto Nacional de Estándares y Tecnología (NIST por sus siglas en ingles) está cargado de “estándares de desarrollo y guías de apoyo, incluyendo los requerimientos mínimos, para proveer la adecuada información de seguridad para todas las agencias operativas”, y estos requerimientos “no podrán ser aplicados a sistemas de seguridad nacional”. El sistema del Departamento de Defensa puede o no ser considerado un sistema de seguridad nacional, es difícil de ver porque estaría sujeto a estos requerimientos mucho menores a los recomendaros por el NIST.
El algoritmo SHA-1 fue publicado inicialmente en 1995 y ya no es considerado seguro. La decisión del NIST de inhabilitar el SHA-1 después de 2013 fue originalmente basada a las quejas sobre la capacidad de encriptación del algoritmo. Se pensaba que los atacantes no tardaría en encontrar fallos o huecos de seguridad en el SHA-1 y podrían ser capaces de falsificarlo o de personificar a un ente seguro haciéndolo pasar por un certificado ssl valido.
La mayoría de los certificados SSL firmados con SHA-1 para uso publico en sitios web que se han emitido en los últimos meses, y que son validos hasta el inicio del año 2017, fueron emitidos a dominios con la extensión .mil Este sTLD es usado por agencias, servicios y divisiones del Departamento de Defensa de los Estados Unidos.
Certificado US Milicia Inseguro
Muchos otros certificados SHA-1 usados por sitios web .mil son validos más allá del 2017, lo que significa que Google Chrome ya los etiqueta como sitios inseguros, marcando el icono de seguridad:
Navegacion Insegura USA
La seguridad de algunos de estos sitios es incierta por el uso de la conexión TLS 1.0, aun cuando los navegadores de muchos usuarios pueden soportar versiones posteriores. TLS 1.0 es ahora considerado obsoleto, con estándares como PCI SSC que se recomienda ya no usar en nuevas aplicaciones, y que las aplicaciones existentes deben migrar a TLS 1.1 a más tardar en Junio de 2016.
Conexion TLS
Conexiones TLS 1.0 siguen siendo usadas por el servicio de acceso remoto de la milicia de Estados Unidos.
Pero deshabilitar el soporte para TLS 1.0 no siempre es posible, particularmente tomando en cuenta que navegadores viejos como Internet Explorer 8 no soportan TLS 1.1 y 1.2. Si es mandatorio para un servidor en particular soportar TLS 1.0, entonces lo recomendable es utilizar TLS Fallback SCSV para prevenir ataques a clientes que soportan TLS 1.1 o superior. Esto asegurara que navegadores modernos siempre utilicen versiones seguras de TLS, mientras navegadores viejos puedan utilizar la tecnología débil y obsoleta de TLS en su cifrado.
Muchas agencias militares de USA solo soportan en sus servicios de acceso remoto el protocolo TLS 1.0, incluidos entre ellos la Agencia de Logística de Defensa. Otros sitios militares, incluyen uno de los servicios VPN del NAVY que soportan TLS 1.2, pero con cifrados obsoletos. Particularmente estos sitios usan SHA´1 para firmar sus certificados que expiran hasta 2017 y son catalogados como “afirmativamente inseguros” por Google Chrome.