El Heartbleed

Heartbleed es un agujero de seguridad (bug) de software en la librería de código abierto OpenSSL, que permite a un atacante leer la memoria de un servidor o un cliente, permitiendole por ejemplo, conseguir las claves privadas SSL de un servidor. Investigaciones de auditorías muestran que al parecer algunos atacantes han explotado esta falla por al menos cinco meses antes de que fuera descubierta y publicada.

Impacto

Al leer un bloque de memoria arbitrario del servidor web, los atacantes pueden recibir data sensible, comprometiendo la seguridad del servidor y sus usuarios. La data vulnerable incluye la clave maestra del propio servidor, que puede permitir a los atacantes desencriptar tráfico actual o almacenado, mediante un ataque pasivo man-in-the-middle (si el servidor y el cliente no usan perfect forward secrecy), o activo si perfect forward secrecy está en uso. El atacante no puede controlar que dato es devuelto.

El bug tambien puede revelar partes desencriptadas de las peticiones y respuestas del usuario, incluyendo cualquier tipo de posteo en las peticiones del usuario, cookies de sesión y contraseñas, lo que permitiría al atacante suplantar la identidad de otro usuario del servicio. Al hacerse público, cerca del 17% o medio millón de servidores de seguridad web de internet certificados por autoridades confiables se creían vulnerables de ser atacados. La Electronic Frontier Foundation, Ars Technica, y Bruce Schneier catalogaron al bug Heartbleed como “catastrófico”. El columnista de Forbes, Joseph Steinberg, describió al bug como potecialmente “la peor vulnerabilidad encontrada (al menos en términos de su impacto potencial) desde que que internet comenzó a tener tráfico comercial”.

Reacción

El en día que se dió a conocer, el Tor Project aconsejó en su blog a todo el que busque “fuerte anonimato y privacidad en internet” debería “alejarse de internet por completo por los próximos días mientras se arreglan las cosas”.

La Agencia de Impuestos Canadiense (Canada Revenue Agency) cerró su sitio web de servicios electrónicos debido a preocupaciones por el agujero de seguridad Heartbleed.

Quienes mantienen la plataforma de la Fundación Wikimedia aconsejaron a sus usuarios cambiar sus contraseñas.

Un analista posteó en GitHub que de los mil sitios mas visitados el 8 de abril del 2014, los siguientes presentaban vulnerabilidades: Yahoo!, Imgur, Stack Overflow, Slate, y DuckDuckGo.

Fuente: Wikipedia

Anuncios

Deja un comentario

abril 11, 2014 · 8:43 pm

Responder

Introduce tus datos o haz clic en un icono para iniciar sesión:

Logo de WordPress.com

Estás comentando usando tu cuenta de WordPress.com. Cerrar sesión / Cambiar )

Imagen de Twitter

Estás comentando usando tu cuenta de Twitter. Cerrar sesión / Cambiar )

Foto de Facebook

Estás comentando usando tu cuenta de Facebook. Cerrar sesión / Cambiar )

Google+ photo

Estás comentando usando tu cuenta de Google+. Cerrar sesión / Cambiar )

Conectando a %s