A medida que el cierre continúa en su día 21, docenas de sitios web .gov no han renovado sus certificados TLS.
A medida que continúa el cierre federal de los EE. UU., Decenas de sitios web del gobierno de los EE. UU. Se han vuelto inseguros o inaccesibles debido a certificados de seguridad de la capa de transporte (TLS) caducados que no se han renovado.
De hecho, los sitios web .gov están utilizando más de 80 certificados TLS que han caducado, según un nuevo informe del jueves de Netcraft. Eso es porque la financiación para renovaciones ha sido pausada. Eso abre los sitios afectados a una serie de ciberataques; más notablemente, los ataques de hombre en el medio, que permiten a los malos actores interceptar los intercambios entre un usuario y una aplicación web, ya sea para escuchar o personificar el sitio web y robar cualquier información que el usuario pueda ingresar.
Se impactan docenas de sitios, que incluyen portales de pago gubernamentales sensibles y servicios de acceso remoto para organizaciones como la NASA, el Departamento de Justicia de los Estados Unidos y el Tribunal de Apelaciones.
El tema de la seguridad ha generado alarmas debido a que el gobierno de los EE. UU. Continúa paralizado por un cierre parcial del gobierno, que hasta el viernes ha estado vigente durante 21 días. Cerca de 800,000 empleados federales están sin permiso o trabajando temporalmente sin paga, y se ha dicho a millones de contratistas gubernamentales que no vengan a trabajar.
"Dado que Donald Trump parece no estar dispuesto a comprometerse con sus demandas de un muro a lo largo de la frontera con México, y los demócratas se niegan a aprobar un presupuesto que contiene $ 5.7B para el muro, los cientos de miles de empleados federales no pagados podrían no ser los únicos perjudicados, "Dijo Netcraft. "A medida que más y más certificados utilizados por los sitios web gubernamentales expiran inevitablemente en los próximos días, semanas, o incluso meses, podría haber algunas oportunidades realistas para socavar la seguridad de todos los ciudadanos de los Estados Unidos".
Uno de los sitios web de EE. UU. Impactado, que pertenece al Departamento de Justicia, utiliza un certificado que expiró en la semana anterior al cierre. Según Netcraft, el certificado fue firmado por la autoridad de certificados de confianza GoDaddy, pero no se ha renovado desde que expiró el 17 de diciembre.
Otro, el sitio web .gov de Berkeley Lab, expiró el 8 de enero y aún no ha sido reemplazado.
El problema ha despertado inquietudes en el espacio de infosec sobre cómo se puede abusar de los sitios web confidenciales del gobierno, y sobre qué otros problemas de seguridad se plantean debido al cierre.
“¿Cuántos sistemas gubernamentales críticos no se mantienen actualmente, están obsoletos y, por lo tanto, son vulnerables? "Parece ser una gran oportunidad para que los grupos de piratería de estado-nación exploten la debilidad momentánea de los Estados Unidos para robar o alterar información extremadamente sensible", dijo la CEO de High-Tech Bridge, Ilia Kolochenko, en un correo electrónico.
De hecho, los sitios web .gov están utilizando más de 80 certificados TLS que han caducado, según un nuevo informe del jueves de Netcraft. Eso es porque la financiación para renovaciones ha sido pausada. Eso abre los sitios afectados a una serie de ciberataques; más notablemente, los ataques de hombre en el medio, que permiten a los malos actores interceptar los intercambios entre un usuario y una aplicación web, ya sea para escuchar o personificar el sitio web y robar cualquier información que el usuario pueda ingresar.
Se impactan docenas de sitios, que incluyen portales de pago gubernamentales sensibles y servicios de acceso remoto para organizaciones como la NASA, el Departamento de Justicia de los Estados Unidos y el Tribunal de Apelaciones.
El tema de la seguridad ha generado alarmas debido a que el gobierno de los EE. UU. Continúa paralizado por un cierre parcial del gobierno, que hasta el viernes ha estado vigente durante 21 días. Cerca de 800,000 empleados federales están sin permiso o trabajando temporalmente sin paga, y se ha dicho a millones de contratistas gubernamentales que no vengan a trabajar.
"Dado que Donald Trump parece no estar dispuesto a comprometerse con sus demandas de un muro a lo largo de la frontera con México, y los demócratas se niegan a aprobar un presupuesto que contiene $ 5.7B para el muro, los cientos de miles de empleados federales no pagados podrían no ser los únicos perjudicados, "Dijo Netcraft. "A medida que más y más certificados utilizados por los sitios web gubernamentales expiran inevitablemente en los próximos días, semanas, o incluso meses, podría haber algunas oportunidades realistas para socavar la seguridad de todos los ciudadanos de los Estados Unidos".
Uno de los sitios web de EE. UU. Impactado, que pertenece al Departamento de Justicia, utiliza un certificado que expiró en la semana anterior al cierre. Según Netcraft, el certificado fue firmado por la autoridad de certificados de confianza GoDaddy, pero no se ha renovado desde que expiró el 17 de diciembre.
Otro, el sitio web .gov de Berkeley Lab, expiró el 8 de enero y aún no ha sido reemplazado.
El problema ha despertado inquietudes en el espacio de infosec sobre cómo se puede abusar de los sitios web confidenciales del gobierno, y sobre qué otros problemas de seguridad se plantean debido al cierre.
“¿Cuántos sistemas gubernamentales críticos no se mantienen actualmente, están obsoletos y, por lo tanto, son vulnerables? "Parece ser una gran oportunidad para que los grupos de piratería de estado-nación exploten la debilidad momentánea de los Estados Unidos para robar o alterar información extremadamente sensible", dijo la CEO de High-Tech Bridge, Ilia Kolochenko, en un correo electrónico.
También te puede interesar: Estados Unidos acusa a dos hackers iraníes por los ataques de SamSam Ransomware
Políticas de HSTS
Afortunadamente, ciertas medidas de seguridad se implementaron antes del cierre que protege a algunos sitios web .gov de ataques cibernéticos cuando sus certificados han caducado, pero la desventaja es que ya no se puede acceder a esos sitios web protegidos.
La medida de seguridad coloca ciertos dominios usdoj.gov y cualquier subdominio que esté en la lista de precarga de HSTS de Chromium, que es una lista de sitios codificados en Chrome como solo HTTPS. Esta medida de seguridad impide que los usuarios visiten los sitios HTTPS cuando tienen un certificado caducado.
Sin embargo, no todos los sitios implementan las políticas de HSTS, y "en consecuencia, la mayoría de los sitios afectados mostrarán una advertencia de seguridad intersticial que el usuario podrá omitir", dijo Netcraft. Si bien eso significa que al menos se puede acceder a los sitios web, “esto introduce algunas preocupaciones de seguridad realistas, ya que los usuarios orientados a las tareas tienen más probabilidades de ignorar estas advertencias de seguridad y, por lo tanto, se vuelven vulnerables a los ataques de intermediarios. ”
Impacto del cierre gubernamental en la seguridad
A medida que el cierre del gobierno continúa, tiene una serie de impactos en todos los ámbitos cuando se trata de seguridad.
Theresa Payton, la antigua CIO de la Casa Blanca de Fortalice Solutions, dijo que el cierre tiene una serie de implicaciones para los problemas de ciberseguridad en todo el país, incluidas las agencias de personal que trabajan en la ciberseguridad, lo que asusta a los profesionales de la ciberseguridad que podrían estar interesados en el servicio público o contratos con el gobierno, e interferir con los plazos de los contratos.
"Los líderes y los legisladores de ambos lados del pasillo harían bien en adoptar un enfoque de" todo lo anterior "cuando se trata de este cierre y nuestros objetivos de seguridad nacional", dijo a Threatpost.
Mientras tanto, Kolochenko dijo que para avanzar, se debe desarrollar un plan de emergencia para enfrentar las medidas de seguridad críticas continuas incluso durante un cierre del gobierno.
"La situación ... apunta a un plan de continuidad que está mal implementado en algunas agencias federales: las tareas y procesos críticos de ciberseguridad deben mantenerse incluso si la financiación se detiene temporalmente", dijo Kolochenko. "De lo contrario, todo el modelo de ciberseguridad gubernamental es cuestionable, y la gente puede preguntar razonablemente a dónde van sus impuestos".
Compartir...
0 Comentarios