Un “no” calificado es la respuesta.
Una buena explicación, aunque técnica, de la vulnerabilidad Gotofail está aquí: ImperialViolet – Error de SSL / TLS de Apple
Básicamente, un sitio web malicioso https le dará a su computadora un certificado incorrecto y será validado como un sitio seguro válido si está sujeto al error.
- ¿Qué le sucede exactamente al sistema operativo después de un ataque de fragmentación superpuesto?
- ¿Qué educación y trabajo hiciste para ingresar a tu trabajo de seguridad cibernética?
- ¿Cuál será la mayor amenaza de seguridad en 2017?
- Cómo convertirse en un profesional de seguridad cibernética
- ¿El requisito de cambiar una contraseña cada pocos meses aumenta o disminuye la seguridad?
Escribo esta respuesta el 24 de febrero de 2014. A partir de ahora, Apple corrigió el error para iOS y todavía está muy activo en OS X si está utilizando el navegador predeterminado, el Safari de Apple. Puede comprobar usted mismo y ver si está afectado en este sitio web: goto fail;
Entonces, ¿qué sucede si usa una red privada virtual (VPN)? Su tráfico se envía desde su computadora a otro lugar, donde hay computadoras en las que confía. Por lo general, esa es la red de área local (LAN) de su empresa. Si su computadora está tratando de contactar a un servidor que vive fuera de su empresa, el tráfico continúa desde allí a través de Internet, por lo que si está tratando de contactar a un servidor pirateado y usa una VPN, aún es vulnerable. Simplemente te atornillan más lentamente, porque el tráfico va por una ruta indirecta y lleva más tiempo llegar al hacker.
Sin embargo, hay un caso en el que estaría protegido por una VPN. Imagina este escenario.
Creo un clon del sitio web https de su banco. Mi copia solo presenta la página de inicio, donde se supone que uno debe escribir sus credenciales. Mi servidor está configurado para responder al nombre de dominio de su banco (a pesar de que normalmente nadie lo alcanzaría después de escribir el nombre del banco), cuando ofrecerá un certificado incorrecto para aprovechar la vulnerabilidad Gotofail. Mi servidor aceptará sus credenciales y me las reenviará. Luego usaré su nombre de usuario y contraseña para vaciar su cuenta e ir a comprar un yate.
Ahora configuro una red Wi-Fi abierta, y configuro las cosas para que si un dispositivo conectado a esta red intenta comunicarse con el banco, su tráfico se redirija a mi servidor de piratería.
En este caso, si se conecta a mi Wi-Fi normalmente, será redirigido a mi servidor y será hackeado por mí. Si se conecta a mi Wi-Fi y también conecta su VPN, pasa indemne por mi Wi-Fi, sale de Internet desde las oficinas de su empresa y llega al servidor seguro real de su banco.
