Heartbleed: origen, peligros y descubrimiento-denshai

Symbol der letzten Tage. #heartbleed

Flickr(CC)

En los ultimos dias es muy probable que hayas escuchado de una falla en internet denominada “Heartbleed“, la cual según Wikipedia se define como: “un agujero de seguridad (bug) de software en la biblioteca de código abierto OpenSSL, que permite a un atacante leer la memoría de un servidor o un cliente, permitiéndole por ejemplo, conseguir las claves privadas SSL de un servidor. ”

¿Como nos afecta?

Pero en si ¿Cual es el problema?, ¿En que nos puede afectar?, bueno si nuestro sistio web utiliza OpenSSL, va a ser vulnerable a este bug, lo cual le permitiria a un atacante acceder sin darnos cuenta a toda la información que tengamos en nuestros servidores, sean simples inventarios, datos contables inutiles, hasta información de acceso a nuestra intranet, datos de nuestros empleados, clientes, y para la competencia inclusibe nuestros planes para la empresa (si lo teniamos en el servidor).

Este sería un “buen escenario”, debido a que la seguridad dependera de nosotros, y seguramente lo arreglaremos lo antes posible; pero en realidad afecta todos los sitios web que utilizen una conexión ssl, con openssl; que en resumidas palabras, son practicamente todas….; nuestra cuenta en google, outlook, yahoo, netflix, inclusibe las conexiones que realizamos de forma electronica para realizar movimientos o pagos bancarios estan en peligro, con toda la información que ellos contienen.

Y si piensas que por no conectarte al banco a travez del navegador y utilizar la “aplicación oficial”, lamento romperte tus sueños porque segun un estudio reaizado “390.000 aplicaciones de Google Play encontrando unas 1.300 que pueden ser vulnerables a Heartbleed. Entre ellas hay 15 apps relacionadas con bancos, 39 con servicios de pago online y 10 con tiendas online.

¿Desde cuando se conoce?

Es dificil mencionar desde cuando se conoce, “publicamente” se conoce desde el lunes, pasado, lo cual es bueno por que nos permite arreglar el problema, pero tambien permite que informacitcos maliciossos que desconocian la vulnerabilidad, la utilizen contra nuestreo sitios web; ademas de que para “unos cuantos” es probable que la conocieran desde antes, como google que lo conocia desde hace casi un mes, lo que solo nos deja con la gran duda de si ha sido utilizada, ¿cuantas veces?, y el impacto real que ha tenido, y por si te lo preguntabas, la vulnerabilidad exite desde una versión que fue lanzada hace dos años, si, dos años en los que pudieron acceder a nuestros datos, sin siquiera imaginarlo.

¿Que han dicho?

Diversas organizaciones de todo tipo, desde gobiernos  (La Agencia de Impuestos Canadiense (Canada Revenue Agency) cerró su sitio web de servicios electrónicos debido a preocupaciones por el agujero de seguridad Heartbleed.), hasta fundaciones (Quienes mantienen la plataforma de la Fundación Wikimedia aconsejaron a sus usuarios cambiar sus contraseñas.)

¿Que es lo que debemos de hacer?

Si utilisamos servidores con conexiones ssl, con simplemente actualizarlos, la vulnerabilidad sera resuelta, pero si atacantes ya obtuvieron datos nuestros, poco podremos hacer.

En el caso de los sitios web y servicios que utilizamos de “terceros” (google, microsoft, yahoo, nuestro banco, etc.), lo ue debemos de hacer es cambiar nuestras contraseñas para que en caso de que atacantes las hayan obtenido, no accedan a nuestra información (si no ya lo hicieron), y asegurar de cerrar todas las sesiones que tengamos abiertas, pero recallcamos si, ya obtubieron nuestros datos, poca habra que se pueda hacer

Pero cuidado, habra sitios web que no han arreglado la vulnerabilidad y que cambiar nuestra contraseña, solo nos crearia una “falsa sensación de seguridad”, para verificar si un sitio web es seuro solo introduce su direccion web en la siguiente pagina: https://filippo.io/Heartbleed/

Y de preferencia, recomendamos realizar donativos a la fundacion, debido a que como ya se menciono, sobre ella, se sustenta gran prate de lla seguridad de internet y de nuestras redes, lo que puedes poyara, sera de gran ayuda para ellos: https://www.openssl.org/

Si te gusto,puedes seguirme en mis redes sociales o rss:

Newsletter: https://goo.gl/forms/r8dOTVHglaqfrmQl2

Twitter: https://twitter.com/fede_3mmanuel

Facebook: https://www.facebook.com/Denshai-1425378094384435/

Google Plus: https://plus.google.com/+EmmanuelS%C3%A0nchezfede

Feed RSS: https://denshai.wordpress.com/feed/

Vimeo (ve y descarga nuestros videos): https://vimeo.com/user29167848

Github: https://github.com/Emmanuel00

Licencia Creative Commons

Esta obra está bajo una Licencia Creative Commons Atribución-CompartirIgual 4.0 Internacional.

Algunos de los sitios ocupados, tienen sus propias licencias de distribucion de contenido, recomendamos revisarlas, antes de usar el contenido que presentan

Advertisements

Leave a Reply

Fill in your details below or click an icon to log in:

WordPress.com Logo

You are commenting using your WordPress.com account. Log Out / Change )

Twitter picture

You are commenting using your Twitter account. Log Out / Change )

Facebook photo

You are commenting using your Facebook account. Log Out / Change )

Google+ photo

You are commenting using your Google+ account. Log Out / Change )

Connecting to %s