¡Llegamos a 27.500.012 visitas gracias a ustedes! ☆

Heartbleed

De WikicharliE
Heartbleed
Bienvenido a Departamento de Sistemas e Informática de WikicharliE

Fallo en los protocolos de seguridad de Open SSL

Logo Heartbleed.png.jpg

Heartbleed nombre oficial de CVE-2014-0169, es un fallo en los protocolos de seguridad de Open SSL, un defecto que utilizan los hackers para crear un sitio web falso que el usuario creerá como verdadero, y que permite a esta persona con malas intenciones tomar datos personales del usuario, una técnica de intrusión denominada Man in the middle, u hombre en medio. Lo más peligroso de todo es que Trend Micro ha detectado que, entre estas 1.300 aplicaciones, existen al menos unas 15 relacionadas con bancos, 39 con servicios de pago online, y otras 10 de tiendas online, lo cual supone que podríamos exponer nuestros datos bancarios y de pago a hackers dispuestos a usar dichos datos en su beneficio propio.

WikicharliE Patrimonio de Chile

Contenido

Heartbleed es descrito por expertos como una falla de software (bug) en OpenSSL, la tecnología de encriptación de código abierto que utilizan al menos dos tercios de los servidores web.

Descubierta a inicios del mes por un investigador de Google y la firma de seguridad Codenomicon de origen finlandés, Heartbleed está detrás de muchos sitios HTTPS que recolectan información personal o financiera. Los criminales cibernéticos pueden explotar el bug para acceder a los datos personales de los usuarios y las claves criptográficas de los sitios, crear imitaciones de las páginas y recopilar cuantiosa información.

Aunque Heartbleed fue descubierto y divulgado ahora en abril, está latente desde marzo de 2012, han indicado los investigadores del caso, por lo que las comunicaciones a través de SSL han estado expuestas y vulnerables por más de dos años.

Diversas fuentes coinciden en que este es uno de los fallos más graves que se hayan visto en SSL, entre otras razones por la facilidad que ofrece a los ciberdelincuentes para explotar la falla, la masividad de servicios potencialmente afectados (dos tercios de todo internet) y que el ataque no deja rastros en los registros.

¿Qué es OpenSSL?

OpenSSL es un proyecto de software libre que consiste en una serie de herramientas de administración y bibliotecas que se relacionan con la criptografía. Es ampliamente utilizado para cifrar la mayoría del tráfico que es enviado a través de Internet de manera segura y eficiente. Su función es la de proveer propiedades criptográficas a paquetes como OpenSSH o a navehadores web para que se pueda tener un acceso seguro a sitios con seguridad HTTPS y para cifrar el tráfico en Internet. La última versión estable de Open SSL es la 1.0.1f de enero de este año que también se encuentra comprometida por Heartbleed.

Medidas

Evitarlo no es sencillo, y el primer paso sería instalar un antivirus, aunque de momento esto no te asegura nada. Hay varios consejos útiles que deberías tener siempre en cuenta, y no sólo para este caso de Heartbleed, como el no usar siempre la misma contraseña para todos los sitios y aplicaciones, cambiarlas con asiduidad, o si una aplicación te lleva a una ventana emergente, comprobar de alguna manera si ese paso es oficial o nos están llevando a una página falsa, por ejemplo utilizando otro navegador.

Entre las medidas citadas para enmendar y prevenir figuran actualizar contraseñas de usuarios y claves de encriptación, los sitios deben actualizar la versión de Open SSL, revocar certificados SSL otorgados y emitir nuevos.

Facebook y Yahoo, entre las redes sociales más grandes, han tomado sus medidas, otros como Amazon aseguran no estar afectados. Pero el problema se extiende a los sitios de las organizaciones y afecta a los usuarios. Fuentes señalan que empresas pequeñas, o comercios minoristas en línea, por ejemplo, cuyos servicios usan Open SSL podrían tardar más tiempo en implementar los arreglos.

Usualmente, las páginas no indican si usan Open SSL, así que el proceso será difícil para los usuarios, quienes poco pueden hacer desde su lado, salvo modificar contraseñas y vigilar su información personal en línea, como transacciones bancarias, tarjetas de crédito, entre otras medidas de seguridad.

Se espera que en poco tiempo las distintas aplicaciones señaladas vayan creando parches para solucionar este fallo de seguridad, pero mientras tanto puedes instalarte alguna aplicación que, si bien no va a solucionar el problema, si te va a informar sobre cuáles son las aplicaciones Android que tienes instaladas y que presentan el fallo Heartbleed, como Bluebox Heartbleed Scanner o Heartbleed Security Scanner.[1]

Afectados

Entre los portales que fueron afectados pero que ya solucionaron el problema destacan Facebook, Yahoo (incluyendo sus servicios asociados como Flickr y Tumblr), Google, Dropbox, LastPass, SoundCloud y Amazon Web Services. En todos estos casos, se recomienda la creación de nuevas contraseñas aunque hay una excepción: Google afirma que no es necesario que sus usuarios realicen esta acción.[2]

Heartbleed será irreparable en muchos dispositivos

Es poco probable que el mayor fallo de encriptado se arregle en la mayoría de dispositivos vulnerables como los sistemas de domótica y equipos de red empresariales.

Se calcula que el fallo de seguridad descubierto esta semana afecta a dos tercios de los sitios web y tiene a los usuarios de internet desesperados por comprender el problema y actualizar sus contraseñas en línea. Pero muchos sistemas vulnerables al fallo están ocultos al público y es poco probable que se arreglen.

OpenSSL, en el que se ha encontrado el fallo, bautizado como Heartbleed, se usa de forma generalizada en el software que conecta los dispositivos en casas, oficinas y entornos industriales a internet. Este fallo podría permanecer durante años en dispositivos como el hardware de red, los sistemas de automatización domésticos e, incluso, sistemas clave de control industrial, porque todos ellos se actualizan con muy poca frecuencia.

Los dispositivos conectados a la red suelen ejecutar un servidor web básico para permitir al administrador acceder a los paneles de control en línea. En muchos casos estos servidores se aseguran a través de OpenSSL y tendrían que actualizar su software de forma constante, explica el presidente de la empresa de seguridad Lieberman Software, Philip Lieberman. Sin embargo es poco probable que esto sea una prioridad. "Los fabricantes de esos dispositivos no lanzarán parches para la gran mayoría de sus dispositivos y los consumidores parchearán por su cuenta una cantidad insignificante de los mismos".

Los aparatos de televisión por cable y los routers domésticos son sólo dos de los principales tipos de dispositivos que probablemente estén afectados, explica Lieberman. "Los proveedores de internet tienen millones de dispositivos de este tipo con el fallo dentro", afirma.

Es probable que este mismo problema afecte a muchas empresas, porque gran cantidad del hardware de red empresarial e industrial y de los sistemas de automatización empresarial también depende de OpenSSL, y este tipo de dispositivo tampoco se suele actualizar. La revisión a gran escala de direcciones de internet ya ha descubierto en anteriores ocasiones cientos de miles de dispositivos desde equipos informáticos hasta sistemas de control del tráfico que están configurados mal o no se han actualizado para resolver fallos conocidos (ver "Qué pasó cuando un solo hombre puso a prueba todo internet").

"Al contrario que los servidores parcheados por ejércitos de empleados del departamento de informática de una empresa, estos dispositivos conectados a internet con partes de OpenSSL vulnerables no van a recibir la atención necesaria", explica el encargado de estrategia e investigación en STEALTHbits Technologies, Jonathan Sander, que ayuda a las empresas a gestionar y hacer un seguimiento del acceso a los datos y las filtraciones. "OpenSSL es como un motor defectuoso que se ha usado en cada modelo y versión de coche, carrito de golf y scooter".

Resulta complicado calcular cuántos dispositivos conectados a internet son susceptibles de tener el fallo Heartbleed, pero lleva mucho tiempo presente en OpenSSL. "Cualquier cosa que se compilara en una versión de OpenSSL entre diciembre de 2011 y antes de ayer podría ser vulnerable", afirma el investigador de seguridad de la empresa de seguridad Rapid7, Mark Schloesser.

Otra incógnita es a qué datos de valor se puede acceder mediante un ataque aprovechando Heartbleed. Schloesser afirma que las pruebas hechas hasta ahora sugieren que varía mucho de un sistema a otro. Los servidores de Yahoo, por ejemplo, filtraron contraseñas de usuarios, mientras que otros filtraban cosas de poco valor.

No todos los que se dedican ahora mismo a averiguar qué sistemas filtran información importante son investigadores de seguridad bienintencionados. "Hay mucha gente intentando explotar el fallo a gran escala", sostiene Schloesser. Destaca la actividad observada en los registros de servidores web para encontrar sistemas vulnerables desde que se dio a conocer el problema, y la aparición de scripts que se pueden usar para probar si los dispositivos tienen vulnerabilidades asociadas con Heartbleed o no.

Sander señala que muchos dispositivos con un único cometido, por ejemplo los termostatos conectados a internet, no contienen información demasiado valiosa. Pero añade que podría ser la suficiente como para que un atacante entrara en ellos y se hiciera con su control y que incluso pequeñas cantidades de datos podrían revelar, por ejemplo, si hay alguien en casa o no.[3]

Pizarra

Logo Pizarra WikicharliE.JPG
  • Heartbleed falsifica nuestros sitios web
  • En Google Play existen diferentes aplicaciones para detectar apps afectadas por Heartbleed

Fuentes y Enlaces de interés

  1. http://www.ondigitalmagazine.com
  2. http://www.emol.com
  3. Heartbleed será irreparable en muchos dispositivos/Technologyreview.es

Visita otros de nuestros artículos

TODAS LAS PAGINAS.png
Haz click en el ícono
Herramientas personales
Espacios de nombres

Variantes
Vistas
Acciones
Navegación
Herramientas
Contacta a Orquesta Tabaco y Ron para Eventos y Matrimonios http://tabacoyron.cl/