Conocido como «el peor problema de seguridad de la historia de internet», Heartbleed (corazón sangrante) es un bug contenido en una librería SSL ampliamente utilizada por servidores web que permitiría a a un atacante acceder tanto a contraseñas como a los datos de usuario incluso cuando la comunicación esté cifrada.
Para empezar, este problema de seguridad no afecta en sí a los usuarios de la forma habitual en la que trabaja el malware o un ataque, es decir, no hay un software que se ejecuta en tu Mac o una comunicación entre el atacante y tu Mac que aprovecha una vulnerabilidad salvo que tu Mac sea un servidor y esté usando OpenSSL.
Open SSL consiste en un paquete de herramientas de administración y bibliotecas relacionadas con la criptografía, que suministran funciones criptográficas a otros paquetes como OpenSSH y navegadores web (para acceso seguro a sitios HTTPS). Estas herramientas ayudan al sistema a implementar el Secure Sockets Layer (SSL), así como otros protocolos relacionados con la seguridad, como el Transport Layer Security (TLS). Este paquete de software es importante para cualquiera que esté planeando usar cierto nivel de seguridad en su máquina con un sistema operativo libre basado en GNU/Linux. OpenSSL también permite crear certificados digitales que pueden aplicarse a un servidor, por ejemplo Apache. [Wikipedia]
Según los expertos, el 66% de los servidores en internet podrían estar afectados y lo que es peor, de momento solucionar este problema implica una revisión (y actualización/reparación) manual. SI eres usuario de Chrome, hay una extensión que trabaja en segundo plano y comprueba si el servidor web está afectado por este problema (lo que no quiere decir directamente que esté monitorizado por un hacker) que se llama Chromebleed Checker. Esta extensión trabaja en segundo plano y te avisa en el caso de detectar que uno de los sitios web que estás visitando está afectado. Puedes comprobar sitios web de forma específica utilizando Heartbleed Checker.
Apple.com, por ejemplo, no está afectado, ni www.faq-mac.com, pero otros servicios como Yahoo, OKCupid o Tumblr si lo utilizaban, y rápidamente han realizado las actualizaciones oportunas además de solicitar a los usuarios que como medida de precaución, cambien sus contraseñas. Hay información técnica más detallada de este problema de seguridad en Heartbleed.com pero básicamente, con este bug, un atacante puede extraer información directamente de la memoria de un servidor, incluyendo las propias llaves de encriptación SSL y además, sin dejar ningún rastro.
¿Entonces?
Al no ser un problema de seguridad de tu sistema operativo, no hay nada que arreglar. El problema está en el otro lado y ahora es importante que:
- Antes de visitar un sitio web sensible, como por ejemplo, tu Banco o la web de tu empresa, compruebes si el servidor es vulnerable. Eso no quiere decir que esté monitorizado por un atacante, pero eso no lo sabes a ciencia cierta (y posiblemente nunca lo sabrás).
- Solicita información al correspondiente departamento de soporte de si se ha actualizado el servidor en el caso de utilizar OpenSSL y si el servidor era vulnerable (y ahora no lo es) cambia la contraseña para añadir una capa de seguridad adicional (por si caso estuvo monitorizado en su momento).
Ante problemas así, la proactividad del usuario es esencial para evitar un problema de seguridad y en esta ocasión, tanto usuarios de Mac, como de Windows, Linux y otros sistemas operativos estamos en la misma situación.
Gracias Carlos. No tenía ni idea de esto.
Por favor, corregid el nombre… no es hearthbleed, sino heartbleed (de corazón, ‘heart’ y sangrar, ‘bleed’).
Más info útil: http://heartbleed.com/
Ars Technnica por ejemplo está afectada y han pedido a los usuarios que cambien sus contraseñas
http://arstechnica.com/security/2014/04/dear-readers-please-change-your-ars-account-passwords-asap/
Esta si que no me la esperaba
[img]http://files3.soniccdn.com/imagehosting/fb/captura-pantalla-2014-04-09-s-103032_41181_640.jpg[/img]
Que mal rollo dan estas cosas
[quote]Esta si que no me la esperaba
captura-pantalla-2014-04-09-s-103032_41181_640.jpg[/quote]
Parece que ya lo han arreglado.
Hay un montón
Amazon ha estado afectado en su cloud… y por ende muchos alojados con ellos, como Minecraft, Steam…
http://www.gamefront.com/security-alert-heartbleed-bug-shuts-down-minecraft/
http://www.steamgifts.com/forum/OiMfa/steam-affacted-by-the-heartbleed-bug
Aunque ya lo han arreglado, parece
Pero, aunque lo hayan arreglado, como dice Carlos deberíamos cambiar las contraseñas.
Lo extraño es que las webs no avisen a los usuarios para que lo hagan, como ocurre otras veces cuando los ataques sí han sido detectados (como fue el caso de Evernote por ejemplo). Porque el riesgo existe, ¿me equivoco?
Perdón, me pasa por leer rápido. Ya veo que algunos servicios sí que avisaron.
Vamos a poner unos datos un poco más reales que ayuden a entender que, aunque grave, no hay tanto equipo afectado como se va gritando:
Según Netcraft, hay mil millones de dominios webs (66% con Apache y Nginx), 4 millones con SSL.
De esos, alrededor del 18% (que son menos) usan la extensión heartbleed con OpenSSL.
Se han tirado el moco alarmista (en la web que comenta #2 y sin animo de ofender, que luego van diciendo que soy un troll).
No es una extensión que muchos hayan usado y de hecho, en la mayoría de los paquetes que se instalan (y no los que se compilan) no viene activada… y en los que se compilan, pues no es algo común. Es decir, que aunque el usuario medio no «puede hacer nada», si esta en manos de los chicos de sistemas recompilar el OpenSSL ya que la versión 1.0.1g no esta en los típicos repositorios.
Muchos de sistemas que son un poco vaguetes, tendran el servidor (si usan SSL que muchos no lo usan) con dicho defecto por mucho tiempo, mientras que los que tengan (las empresas) un departamento activo, lo recompilaran (que hay que hacerlo siempre, siempre compilar nunca tirar de repositorios que luego oh sorpresa, pasan estas cosas) y listo.
Ademas, siempre siempre siempre, hay que saber que se tiene instalado, que versiones y cuales son sus bugs (que todas tienen, recordad).
Si alguien le interesa sin leerse el CVE que es un rollo patatero, tiene una información curiosa donde explica el fichero .c de la libreria:
http://vrt-blog.snort.org/2014/04/heartbleed-memory-disclosure-upgrade.html
Pero si alguien se quiere leer la fuente:
https://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2014-0160
«Apple.com, por ejemplo, no está afectado, ni http://www.faq-mac.com»
Faq-mac evidentemente no está afectado, pues no utiliza ningún certificado de seguridad. Es decir, faq-mac, no es ningún acierto de faq-mac, por el contrario es vulnerable a otro tipo de ataques bastante más viejos y comunes, como el robo de sesiones y contraseñas al conectarse en redes publicas.
Algo huele a podrido en Dinamarca. Parece que hay intereses oscuros para propagar la alarma. FUD.
El antiguo director de seguridad de Microsoft, detrás del heartbleed.com
http://www.meneame.net/story/antiguo-director-seguridad-microsoft-detras-heartbleed-com
#13 la paranoia no tiene limites. Ya se anda diciendo por ahí que el bug es culpa de la NSA que tiene intereses oscuros para poder sacar los datos de la gente.
Creo que aquellos que piensan esas cosas deberían salir mas a la calle a que les de el aire, irse un poco más con sus amigos de cañas y pinchos y/o «follar mas».