La mayoría de VPN con SSL son altamente inseguras

Las VPN son un accesorio que ya tiene tiempo en el ambiente empresarial, permite a los usuarios acceder de forma segura a redes privadas y compartir de manera remota datos a través de redes públicas.

Por desgracia, también genera a menudo diversos problemas de seguridad, como el hecho de que 77 por ciento de las VPN con SSL todavía utilizan el protocolo SSLv3, el cual es inseguro.

High-Tech Bridge llevó a cabo una investigación a gran escala en internet, en vivo y accesible al público sobre servidores VPN con SSL, encontró entre otras cosas que sólo alrededor de un centenar de los servidores probados tienen SSLv2.

“El protocolo SSLv3 fue creado a principios de 1996″, explicó la empresa en su informe. “Hoy en día, sus defectos son reconocidos y no es recomendado por la mayoría de los estándares de seguridad nacionales e internacionales ni por normas de cumplimiento, como PCI DSS o NIST SP 800-52, que prohíbe su uso, debido a numerosas vulnerabilidades y debilidades descubiertas en ella en los últimos años”.

Cerca de tres cuartas partes (76 por ciento) de las pruebas en SSL de VPN también utilizan un certificado SSL que no es de confianza. Un certificado que no es de confianza permite a un atacante remoto hacerse pasar por el servidor VPN para realizar ataques de hombre en medio e interceptar todos los datos, incluyendo archivos, correos electrónicos y contraseñas, que el usuario transmite a través de la conexión supuestamente “segura” de la VPN. El mayor riesgo observado fue el uso de los certificados preinstalados por los vendedores.

Las malas noticias no terminan ahí: 74 por ciento de los certificados tienen una firma insegura SHA-1, a pesar de que la mayoría de los navegadores web tienenprogramado dejar de aceptar certificados firmados con SHA-1, como las debilidades del algoritmo potencialmente pueden permitir a un certificado SSL ser falsificado, se puede hacer pasar por un servidor e interceptar datos críticos.

Alrededor de 41 por ciento de las VPN con SSL utiliza claves inseguras de longitud de 1024, por sus certificados RSA, que se utilizan para la autenticación y el intercambio de claves de cifrado. La clave RSA de longitud 2048 se considera insegura, permitiendo diversos ataques.

10 por ciento de los servidores VPN con SSL que se basan en OpenSSL son todavía vulnerables a heartbleed. Sólo tres por ciento es compatible con los requisitos de PCI DSS y ninguno es compatible con las directrices de NIST, que se consideran un nivel mínimo de seguridad requerido.

En general, menos de tres por ciento de las VPN con SSL probadas obtuvo el más alto grado “A” para la seguridad, mientras que casi 86 por ciento obtuvo el grado más bajo “F”.

“Hoy en día muchas personas aún asocian el cifrado SSL/TLS principalmente con el protocolo HTTPS y los navegadores web; y subestiman su uso en otros protocolos y tecnologías de Internet”, dijo Ilia Kolochenko, CEO de High-Tech Bridge. “Se pueden realizar muchas cosas para mejorar la fiabilidad y la seguridad de las VPN con SSL.”

Ver informacion original al re4specto en Fuente:
http://www.seguridad.unam.mx/noticia/?noti=2761