Clicky

Home / Noticias / La web bajo seria amenaza, ¿Cómo debo tratar Heartbleed?

La web bajo seria amenaza, ¿Cómo debo tratar Heartbleed?

heartbleed

Recientemente la firma de seguridad Codenomicon en conjunto con el equipo de investigación de seguridad en Google Inc., publicó una grave vulnerabilidad sobre sistemas que utilizan OpenSSL. Hace mucho tiempo que no se detectaba una falla de seguridad de esta magnitud en términos de impacto de la vulnerabilidad, facilidad de explotarla y cantidad de personas que afecta (más de dos tercios de la web) por lo que es necesario tomar las medidas de precaución.

Esto no es un simple truco para capturar passwords, es una vulnerabilidad que ya está causando juiciosa desconfianza en la web y que tan segura es, de hecho algunos consultores de seguridad han sugerido que ahora mismo el único lugar seguro para mantener tu información confidencial es fuera de línea (mientras las actualizaciones son corregidas).

¿Qué es heartbleed?

Cuando abres una página (o cualquier otro servicio web), está le va entregando a tu máquina algunos elementos como imágenes, archivos de texto, videos, entre otras, basado en solicitudes llamadas HTTP requests. Si el servidor web no recibe una solicitud en el tiempo parametrizado, la conexión es cerrada y es necesario abrir otra para establecer comunicación nuevamente. Para evitar este inconveniente los servidores usan “heartbeats”, pequeños paquetes de 64 KB para saber si el cliente se encuentra activo.

Heartbleed se aprovecha de una debilidad en la implementación de este proceso en OpenSSL para acceder a la memoria del servidor, enviando un “heartbeat” de tan solo 1 KB, para que los demás 63 contengan información en la memoria del servidor web, la cual puede incluir entre otras: usuario y passwords, información sensible como tarjetas de crédito, números de cédula, teléfonos, etc.

¿Por qué es tan serio?

Actualmente OpenSSL es la implementación de seguridad más ampliamente utilizada en el internet (incluyendo la web, aplicaciones de mensajería, correos, etc), con alrededor de un 66% de todas las implementaciones del protocolo de acuerdo a un estudio de la firma Netcraft, y todos sin excepción estuvieron expuestos durante un período de alrededor de dos años.

Quizás lo más relevante de la vulnerabilidad es el hecho de que permite filtrar las llaves de cifrado (las claves que permiten convertir información que se transmite a través de la web en código indescifrable por los atacantes). Cualquier que posea estos códigos podrá leer tu información “protegida y segura” con facilidad. Todo esto combinado con la característica de que si la vulnerabilidad fue explotada, no hay forma de ser detectado porque no queda ningún rastro de “heartbleed”.

¿Fui afectado?

Siendo honestos, nadie sabe. Probablemente sí, pero no hay ninguna forma de asegurarse. Sitios como google, gmail, Facebook, Yahoo, páginas de bancos, páginas del gobierno, etc. pudieron haber sido afectadas por lo que la confidencialidad de sus usuarios pudiera estar comprometida en este mismo momento.

¿Qué puedo hacer?

Para los administradores de sitios web: Lo primero es actualizar la versión de OpenSSL a la más reciente, la cual ya ha corregido el problema. Lo siguiente que se recomienda es que se emitan nuevamente los certificados de seguridad a fin de cambiar las claves que encriptan la información.

Para los usuarios: Como no se sabe que sitios webs ya han sido vulnerados, se recomienda cambiar todas las claves que utilizan en la web y otros servicios de internet. Algunos sitios no fueron afectados, pero como mencionamos esto fue solo cerca de un 34%.

Si quieres saber más información sobre como probar si tu website está expuesto a heartbleed, puedes encontrar más información en los siguientes enlaces:

http://heartbleed.com/

http://www.openssl.org/news/secadv_20140407.txt (published 7th of April 2014, ~17:30 UTC)

http://blog.cloudflare.com/staying-ahead-of-openssl-vulnerabilities (published 7th of April 2014, ~18:00 UTC)

http://www.ubuntu.com/usn/usn-2165-1/

http://www.freshports.org/security/openssl/

https://blog.torproject.org/blog/openssl-bug-cve-2014-0160

https://rhn.redhat.com/errata/RHSA-2014-0376.html

http://lists.centos.org/pipermail/centos-announce/2014-April/020249.html

https://lists.fedoraproject.org/pipermail/announce/2014-April/003205.html

http://www.kb.cert.org/vuls/id/720951

https://www.cert.fi/en/reports/2014/vulnerability788210.html

https://www.cert.at/warnings/all/20140408.html

http://www.circl.lu/pub/tr-21/

Sobre Edison Sepulveda de Jesus

Profesional de la industria de servicios de sistemas de información, entusiasta del mundo de las finanzas y los mercados bursatiles. Apasionado del mundo de los negocios y el emprendedurismo. Puedes seguirme en Google+.
Ir Hacia Arriba