Informe incorrecto de vulnerabilidad de VeriSign
Hoy vimos varias historias sobre supuestas vulnerabilidades en el proceso de solicitud de certificado SSL enterprise de VerSign. Estas historias se basan en un boletin de prensa y sesión informativa de Comodo afirmando que encontraron una "vulnerabilidad de seguridad muy importante" en la oferta SSL de VeriSign. Estas historias son incorrectas. He escrito esta FAQ para aclarar la desinformación que está flotando ahora al respecto.
P. ¿Hay actualmente vulnerabilidades de seguridad muy importantes en los productos SSL de VeriSign que fueran reveladas públicamente hoy por Comodo?
R. No.
P. ¿Qué son las alegadas vulnerabilidades que anunció Comodo?
R. Muchas empresas grandes usan un una secuencia de trabajo mediante el cual los individuos dentro de la organización pueden solicitar Certificados SSL para los proyectos en los que están trabajando. Las solicitudes de esas páginas van a los administradores, quienes evalúan emitir o no los certificados. Comodo fue capaz de conseguir acceso a la página de solicitudes de certificados de una gran institución financiera.
Por su naturaleza estas páginas son accesibles públicamente, y el acceso a estas páginas no constituye una falla de seguridad. No hay información privada disponible en estas páginas, y los pedidos de certificados para por una evaluación del cuerpo de administración de certificados designado por la empresa antes que ningún certificado sea emitido. La afirmación de Comodo que detectaron una "vulnerabilidad de seguridad muy importante" que afecta a "los sitios Web de sus clientes, incluyendo una gran institución financiera" es categóricamente falsa.
P: ¿Cuál es el efecto en los sitios Web de los clientes de VeriSign?
R: No hay efectos en los sitios Web de los clientes de VeriSign. Los clientes no necesitan realizar ninguna acción y no están bajo ningún peligro.
P. ¿Cuál es la gravedad de las presuntas vulnerabilidades?
R. VeriSign no cree que Comodo haya descubierto o anunciado ninguna vulnerabilidad seria para nuestros clientes o los usuarios de los sitios web de nuestros clientes. La información sensible y las acciones que llevan a consecuencias significativas a las empresas están todas protegidas por un centro de control administrador el cual no es accesible sin un certificado administrativo y no es la página web de suscriptor que encontró Comodo. Deliberadamente hemos diseñado nuestra secuencia de trabajo para alcanzar las necesidades de todos los miembros de la empresa sin comprometer la seguridad, y en este caso el diseño está haciendo su tarea.
P. ¿Hubo alguna brecha? ¿Estuvo alguna información sensible o la seguridad de algún sitio, servidor, empresa o certificado comprometido de alguna forma?
R. No.
P. ¿Hará VeriSign algún cambio a sus productos basado en este anuncio?
R. Actualmente tenemos puesto un monitoreo para detectar posibles ataques de fuerza bruta a la página web del suscriptor. En base a la mayor atención que probablemente causará esta publicación, estamos implementando salvaguardas adicionales para asegurarnos de forma redundante que esas páginas no sean susceptibles a explotaciones.
P. La publicación de Comodo afirma que siguieron los estándares CCSS de divulgación ética de seguridad. ¿Es correcto eso?
R. No. La sección 7.2.iii y 9.1.i de esas guías establecen claramente que el divulgador y el proveedor de seguridad negociaran mutuamente la estrategia y linea de tiempo tanto para la divulgación como para la mitigación de la vulnerabilidad. Comodo no hizo conocer a VeriSign el momento planeado para la notificación de prensa de esta mañana o el contenido de esa notificación. Si Comodo nos hubiera informado por adelantado del contenido de esta notificación, hubiéramos podido corregir este error atroz que contenía la publicación.
Si el contenido de esta publicación hubiera constituido una falla de seguridad muy importante (la cual no lo es), una semana de notificación previa no hubiera sido suficiente para reparar ninguna falla, y Comodo no consulto con VeriSign para establecer una agenda de divulgación segura. Con el 93% de las Fortune 500 y el 97% de los 100 bancos más grandes del mundo que usan SSL que eligieron Certificados SSL de VeriSign, es una suerte que Comodo estuviera equivocado en su evaluación del riesgo de seguridad.
P. ¿Porqué está buscando Comodo vulnerabilidades en los productos SSL de VeriSign?
R. No lo sabemos.
P. ¿Busca activamente VeriSign vulnerabilidades de seguridad en los productos SSL competitivos?
R. No.
Traducción: Raúl Batista - Segu-Info
Fuente: Blogs Verisign - Tim Callan
P. ¿Hay actualmente vulnerabilidades de seguridad muy importantes en los productos SSL de VeriSign que fueran reveladas públicamente hoy por Comodo?
R. No.
P. ¿Qué son las alegadas vulnerabilidades que anunció Comodo?
R. Muchas empresas grandes usan un una secuencia de trabajo mediante el cual los individuos dentro de la organización pueden solicitar Certificados SSL para los proyectos en los que están trabajando. Las solicitudes de esas páginas van a los administradores, quienes evalúan emitir o no los certificados. Comodo fue capaz de conseguir acceso a la página de solicitudes de certificados de una gran institución financiera.
Por su naturaleza estas páginas son accesibles públicamente, y el acceso a estas páginas no constituye una falla de seguridad. No hay información privada disponible en estas páginas, y los pedidos de certificados para por una evaluación del cuerpo de administración de certificados designado por la empresa antes que ningún certificado sea emitido. La afirmación de Comodo que detectaron una "vulnerabilidad de seguridad muy importante" que afecta a "los sitios Web de sus clientes, incluyendo una gran institución financiera" es categóricamente falsa.
P: ¿Cuál es el efecto en los sitios Web de los clientes de VeriSign?
R: No hay efectos en los sitios Web de los clientes de VeriSign. Los clientes no necesitan realizar ninguna acción y no están bajo ningún peligro.
P. ¿Cuál es la gravedad de las presuntas vulnerabilidades?
R. VeriSign no cree que Comodo haya descubierto o anunciado ninguna vulnerabilidad seria para nuestros clientes o los usuarios de los sitios web de nuestros clientes. La información sensible y las acciones que llevan a consecuencias significativas a las empresas están todas protegidas por un centro de control administrador el cual no es accesible sin un certificado administrativo y no es la página web de suscriptor que encontró Comodo. Deliberadamente hemos diseñado nuestra secuencia de trabajo para alcanzar las necesidades de todos los miembros de la empresa sin comprometer la seguridad, y en este caso el diseño está haciendo su tarea.
P. ¿Hubo alguna brecha? ¿Estuvo alguna información sensible o la seguridad de algún sitio, servidor, empresa o certificado comprometido de alguna forma?
R. No.
P. ¿Hará VeriSign algún cambio a sus productos basado en este anuncio?
R. Actualmente tenemos puesto un monitoreo para detectar posibles ataques de fuerza bruta a la página web del suscriptor. En base a la mayor atención que probablemente causará esta publicación, estamos implementando salvaguardas adicionales para asegurarnos de forma redundante que esas páginas no sean susceptibles a explotaciones.
P. La publicación de Comodo afirma que siguieron los estándares CCSS de divulgación ética de seguridad. ¿Es correcto eso?
R. No. La sección 7.2.iii y 9.1.i de esas guías establecen claramente que el divulgador y el proveedor de seguridad negociaran mutuamente la estrategia y linea de tiempo tanto para la divulgación como para la mitigación de la vulnerabilidad. Comodo no hizo conocer a VeriSign el momento planeado para la notificación de prensa de esta mañana o el contenido de esa notificación. Si Comodo nos hubiera informado por adelantado del contenido de esta notificación, hubiéramos podido corregir este error atroz que contenía la publicación.
Si el contenido de esta publicación hubiera constituido una falla de seguridad muy importante (la cual no lo es), una semana de notificación previa no hubiera sido suficiente para reparar ninguna falla, y Comodo no consulto con VeriSign para establecer una agenda de divulgación segura. Con el 93% de las Fortune 500 y el 97% de los 100 bancos más grandes del mundo que usan SSL que eligieron Certificados SSL de VeriSign, es una suerte que Comodo estuviera equivocado en su evaluación del riesgo de seguridad.
P. ¿Porqué está buscando Comodo vulnerabilidades en los productos SSL de VeriSign?
R. No lo sabemos.
P. ¿Busca activamente VeriSign vulnerabilidades de seguridad en los productos SSL competitivos?
R. No.
Traducción: Raúl Batista - Segu-Info
Fuente: Blogs Verisign - Tim Callan
0 Comments:
Publicar un comentario
Gracias por dejar un comentario en Segu-Info.
Gracias por comentar!