CLEVELAND, OH - 16 de agosto de 2012. Certified Security Solutions (CSS) pone a disposición de terceros interesados su SCEP Validation Service™, una solución que evita el ataque descrito en el informe de vulnerabilidad VU#970135 del US-CERT , para su integración y licencia OEM. Hasta ahora, este software solo estaba disponible como parte del producto Mobile Certificate Management System (mCMS) de CSS.
Aunque el Protocolo simple de inscripción de certificados (SCEP) se utiliza desde hace varios años, muchos sistemas de gestión de dispositivos móviles (MDM) entregan ahora contraseñas de un solo uso SCEP directamente a los dispositivos que gestionan, lo que los expone a un uso indebido por parte de los atacantes y puede dar lugar a certificados con contenido fraudulento, así como a posibles ataques de escalada de privilegios. Visite este portal informativo en línea para obtener más información sobre la vulnerabilidad: www.css-security.com/scep.
La solución pendiente de patente de CSS a la vulnerabilidad SCEP incluye un módulo de políticas complementario a Microsoft CA que bloquea cualquier manipulación de los datos de solicitud de certificados basados en SCEP y permite a los clientes conservar las ventajas de la generación de claves privadas en el dispositivo, al tiempo que evita los problemas de seguridad asociados al envío de contraseñas SCEP fuera de la red de confianza de una organización.
"Nos hemos dado cuenta de que la necesidad de Validated SCEP™ trasciende el espacio de emisión y gestión de certificados en el que se centran nuestros productos, y se adentra en áreas como MDM", afirma Kevin von Keyserling, consejero delegado de CSS. "No hace ningún bien a nuestros clientes si apuntalan una vulnerabilidad con nuestro producto mCMS, sólo para reabrirla cuando instalan otra pieza de software. Nuestra esperanza es que otros puedan hacer uso de esta tecnología para que nuestra base colectiva de clientes pueda ser más segura."
Visite el centro de recursos SCEP validados para obtener más información: https://www.css-security.com/vscep/
Aobre CSS
CSS es una empresa de servicios de seguridad de la información con operaciones en toda Norteamérica y sede en Cleveland, Ohio. Estamos especializados en tres áreas críticas de la seguridad de la información: gestión de identidad y acceso, infraestructura y gobernanza seguras, y riesgo y cumplimiento. CSS ofrece servicios de consultoría, servicios de seguridad gestionados, seguridad como servicio y herramientas de seguridad software para satisfacer las necesidades de nuestros clientes. Para más información y para obtener una lista completa de sucursales, visite www.css-security.com o envíe un correo electrónico asoftware @css-security .com