Heartbleed en OpenSSL, más del 50% de los sitios de Internet afectados

Heartbleed en OpenSSL, más del 50% de los sitios de Internet afectados
Sin comentarios Facebook Twitter Flipboard E-mail

OpenSSL una librería de criptografía muy popular en Internet. Por ejemplo el servidor Web Apache, lo utiliza por defecto, y se estima que su uso supera el 50% de los sitios en la Red.

Es una implementación de los protocolos de seguridad de la capa de transporte (TLS/DTLS), con la que se encripta y desencripta datos tan críticos como contraseñas, claves de acceso, certificados y toda aquella información que se debe evitar que sea pública.

Un ataque que no deja huella alguna

Primero aclarar que el problema no está en el diseño o definición del propio protocolo SSL/TSL, sino en la implementación que ha realizado la gente de OpenSSL.

Y el ataque que explota el fallo de la librería, es de los más inquietantes que he conocido, ya que no necesita ninguna información privilegiada o credenciales con permisos de administración y, aún peor, no deja ningún rastro en el sistema atacado.

¿Cómo entonces consigue la información? Gracias al bug Heartbleed, que deja abierto el realizar un desbordamiento de memoria (memory leak) que permite leer y escribir directamente en la memoria del servidor desde un cliente.

El ataque empieza a mostrar el alcance de su peligrosidad cuando desde OpenSSL se indica que este bug aparece en diciembre del 2011, y que fue publicado en marzo del 2012. Y no ha sido resuelto hasta la última versión 1.0.1g el día de ayer, 7 de abril del 2014.

¿Qué se puede hacer? Pues a estas alturas prácticamente nada. Tirando del hilo la cosa pinta especialmente fea ya que, en un primer momento, parece que cambiar las contraseñas es suficiente, pero es que las claves privadas para su encriptación también pueden estar comprometidas.

Lo mismo sucede con los certificados digitales (miles de millones), en donde el proceso de revocar las claves de encriptación y habilitar otras es bastante más complejo y, en muchos casos, costoso.

Pero el efecto se sigue expandiendo cuando todas las comunicaciones como email o mensajes instantáneos que se han realizado en SSL con esta librería, no pueden asegurar que no hayan sido descargados y leídos.

Y, por último, al acceder directamente a las direcciones de memoria de los servidores, queda en entredicho la propia seguridad de las redes, al acceder a los detalles técnicos como las IP, la arquitectura, y la propia seguridad contra los ataques.

¿Estoy afectado por este error? Si, prácticamente todos hemos pasado alguna vez por un servidor SSL que utiliza OpenSSL como librería de criptográfica. Y es prácticamente seguro que nuestros datos han estado, durante al menos dos años, accesibles al ataque.

Y, ya orientado a los TI, los sistemas operativos afectados por Heartbleed y que requieren de una actualización urgente son: * Debian Wheezy (stable), OpenSSL 1.0.1e-2+deb7u4 * Ubuntu 12.04.4 LTS, OpenSSL 1.0.1-4ubuntu5.11 * CentOS 6.5, OpenSSL 1.0.1e-15 * Fedora 18, OpenSSL 1.0.1e-4 * OpenBSD 5.3 (OpenSSL 1.0.1c 10 May 2012) and 5.4 (OpenSSL 1.0.1c 10 May 2012) * FreeBSD 8.4 (OpenSSL 1.0.1e) and 9.1 (OpenSSL 1.0.1c) * NetBSD 5.0.2 (OpenSSL 1.0.1e) * OpenSUSE 12.2 (OpenSSL 1.0.1c)

Via | Techcrunch.com Más información | Heartbleed Bug

Comentarios cerrados
Inicio