El gusano Heartbleed

 

El error Heartbleed es una grave vulnerabilidad en la popular biblioteca de software criptográfico OpenSSL. Este software se utiliza para conexiones seguras a través de Internet. Por ejemplo, cuando te conectas al banco para ver la cuenta bancaria verás que al principio de la dirección pone https://.... Este tipo de dirección, con una letra "s" al final, describe que es una conexión segura la cual utiliza ese software que ahora tiene una debilidad que puede ser explotable.

Esta debilidad permite robar la información protegida, bajo condiciones normales, por el cifrado SSL / TLS utilizado para asegurar Internet. SSL / TLS proporciona seguridad en comunicaciones y la privacidad a través de Internet para aplicaciones como web, correo electrónico, mensajería instantánea (IM) y algunas redes privadas virtuales (VPN).

El error Heartbleed permite a cualquier persona en Internet leer la memoria de los sistemas protegidos por las versiones vulnerables del software OpenSSL. Esto compromete las claves secretas que se utilizan para identificar a los proveedores de servicios y para cifrar el tráfico, los nombres y las contraseñas de los usuarios y el contenido real. Permite a los atacantes espiar las comunicaciones, posibilitando el robo de datos directamente desde los servicios y pueden utilizarse para suplantar a los usuarios en el uso de estos servicios.

¿Qué pruebas se han realizado?

Se han comprobado algunos servicios desde la perspectiva del atacante, llegando a robar datos con información privilegiada y credenciales, todo ello sin dejar rastro. Esto incluyó claves secretas utilizadas por certificados X.509, nombres de usuario y contraseñas, mensajes instantáneos, correos electrónicos y documentos críticos de negocio y comunicación.

¿Qué hacer para no correr peligro?

Mientras la versión vulnerable de OpenSSL está en uso, puede ser objeto de abuso. La versión sin este error ha sido publicada desde OpenSSL y ahora tiene que ser desplegado por todos los servicios y proveedores que lo utilizan.

Los proveedores de sistemas operativos, de dispositivos y de software independientes tienen que adoptar la nueva versión y notificar a sus usuarios. Los proveedores de servicios y los usuarios tienen que instalar la revisión en cuanto esté disponible para los sistemas operativos, aplicaciones en red y software que utilicen.

¿Estoy afectado por el error?

Es probable, ya que puede afectar de forma directa o indirecta. OpenSSL es la biblioteca criptográfica más popular de código abierto y TLS (Transport Layer Security) la aplicación utilizada para cifrar el tráfico en Internet. Desde una red social, el sitio web de una empresa, una web de comercio electrónico, webs de instalación de software o incluso los sitios administrados por los gobiernos podrían estar usando OpenSSL vulnerable. Muchos de los servicios en Internet utilizan TLS para que los usuarios se identifiquen y para proteger su privacidad y transacciones. Es posible que tenga aparatos conectados en red con conexiones aseguradas por esta aplicación con errores en la versión TLS.

¿Dónde puedo encontrar más información?

Toda la información está accesible en la página web https://heartbleed.com/

¿Hablamos?

Web Development Action