Google crea Nogotofail, una herramienta libre para verificar la seguridad SSL de las apps
Google se toma la seguridad muy en serio, tal como hemos podido ver anteriormente, donde no sólo mejoraron el protocolo de seguridad SSL para sus servicios, sino que también vimos por ejemplo cómo incluían TLS/SSL en las aplicaciones Android que conectan con Chrome.
Nogotofail, la herramienta para comprobar la seguridad de nuestro dispositivo
Google ha decidido apostar por TLS (Transport Layer Security) y SSL (Secure Sockets Layer) en todas sus aplicaciones y servicios, unos protocolos criptográficos que proporcionan comunicaciones seguras por una red que normalmente suele tratarse de Internet.
Pero para la compañía meter el protocolo HTTPS no es suficiente, pues también hay que saber darle a estos protocolos de seguridad un buen uso.
Tal es así, que puede resultar común encontrarnos apps y librerías de terceros que anulan algunos de los valores predeterminados que estos protocolos de seguridad llevan implementados de serie, introduciendo una serie de errores en la seguridad que deberíamos evitar.
A partir de ahí, el equipo de Android ha creado la herramienta nogotofail, una herramienta que nos ofrece una manera fácil de comprobar que un dispositivo o app es realmente seguro contra las vulnerabilidades conocidas de TLS/SSL, además de evitar cualquier error de configuración.
Para ello, podremos lanzar una serie de testeos que nos comprobarán todos estas posibles vulnerabilidades: problemas en la verificación de certificados SSL, bugs de librerías de TLS/SSL y HTTPS, entre otros.
La herramienta funciona con cualquier dispositivo que se conecte a Internet, lo que incluye todas las las plataformas que nos podemos encontrar, tanto móviles como de escritorio (Android, iOS, Chrome OS, Windows…). Concretamente en Android y Linux, disponemos de un cliente fácil de usar para configurar los ajustes y poder recibir notificaciones sobre los resultados tras lanzar el motor de ataque (el cual puede ser desplegado como un router, un servidor VPN o un proxy).
Proyecto open source
Los propios encargados del análisis de la seguridad en Google han estado trabajando de la mano de muchos desarrolladores para llevar a cabo estas mejoras, pretendiendo un avance en el buen uso de TLS / SSL. Y ahora han decidido dar un paso más allá, lanzando esta herramienta como un proyecto de código abierto, de tal forma que cualquiera pueda hacer sus aportaciones así como mejorar la seguridad de sus propias aplicaciones.
Sin duda, se trata de una gran noticia para todos los programadores, quienes ahora podremos darle uso a esta herramienta para garantizar que nuestros usuarios podrán estar tranquilos.
Más información Google Online Security Blog | GitHub