Heartbleed bug de OpenSSL, cómo nos afecta y qué podemos hacer

abril 15, 2014 | 0 Comments | Internet

OpenSSL es la librería criptográfica más en Internet. Para poner un ejemplo el servidor Web Apache, lo utiliza por defecto, y se estima que se usa en más del 50% de los sitios en la Red.

OpenSSL se utiliza para encriptar y desencriptar datos tan críticos como contraseñas, claves de acceso, certificados y toda aquella información que se debe evitar que sea pública.

 

Heartbleed: Un ataque indetectable

El problema no está en el diseño o definición del  protocolo SSL/TSL, sino en la implementación que ha realizado OpenSSL.

El ataque que explota el fallo de la librería, no necesita ninguna información privilegiada o credenciales con permisos de administración y, aún peor, no deja ningún rastro en el sistema atacado.

¿Cómo consiguen la información?

Gracias al bug Heartbleed, que deja abierto el realizar un desbordamiento de memoria (memory leak) que permite leer y escribir directamente en la memoria del servidor desde un cliente.

El ataque empieza a mostrar el alcance de su peligrosidad cuando desde OpenSSL se indica que este bug aparece en diciembre del 2011, y que fue publicado en marzo del 2012. Y no ha sido resuelto hasta la última versión 1.0.1g el día 7 de abril del 2014.

¿Qué se puede hacer?

A estas alturas prácticamente nada. Tirando del hilo la cosa pinta especialmente fea ya que, en un primer momento, parece que cambiar las contraseñas es suficiente, pero es que las claves privadas para su encriptación también pueden estar comprometidas.

Lo mismo sucede con los certificados digitales (miles de millones), en donde el proceso de revocar las claves de encriptación y habilitar otras es bastante más complejo y, en muchos casos, costoso.

Pero el efecto se sigue expandiendo cuando todas las comunicaciones como email o mensajes instantáneos que se han realizado en SSL con esta librería, no pueden asegurar que no hayan sido descargados y leídos.

¿Puedo estar afectado por Heartbleed?

Si, prácticamente todos hemos pasado alguna vez por un servidor SSL que utiliza OpenSSL como librería de criptográfica. Y es prácticamente seguro que nuestros datos han estado, durante al menos dos años, accesibles al ataque.

Deja un comentario

Tu dirección de correo electrónico no será publicada. Los campos necesarios están marcados *

5 × dos =

Puedes usar las siguientes etiquetas y atributos HTML: <a href="" title=""> <abbr title=""> <acronym title=""> <b> <blockquote cite=""> <cite> <code> <del datetime=""> <em> <i> <q cite=""> <strike> <strong>