Hace varios días que se han disparado alertas de seguridad informática en el mundo por una vulnerabilidad critica encontrada en la librería criptografica OpenSSL, se apodó a dicho fallo con el nombre de #Heartbleed. Esta vulnerabilidad fue descubierta por Neel Mehta del equipo de Google Security, el CVE reservado (CVE-2014-0160) fue creado el 3 de Diciembre de 2013.
Esta vulnerabilidad le permite a un atacante robar información protegida, en condiciones normales, por el cifrado SSL/TLS utilizado para asegurar las comunicaciones y privacidad en internet, aplicaciones como la web, correo electrónico, la mensajería instantánea y algunas redes privadas virtuales (VPNs).
¿Que permite?
Permite a un atacante leer la memoria de un servidor vulnerable y obtener certificados digitales, nombres de usuarios y contraseñas, mensajes instantáneos, correos electrónicos e información crítica de negocios y comunicaciones, volcados de memoria y su contenido.
¿Qué versiones son vulnerables y no vulnerables?
- OpenSSL 1.0.1 a 1.0.1f (inclusive), son vulnerables.
- OpenSSL 1.0.2-beta1, es vulnerable.
- OpenSSL 1.0.0, NO es vulnerable.
- OpenSSL 0.9.8, NO es vulnerable.
- OpenSSL 1.0.1g, NO es vulnerable (última versión estable).
- OpenSSL 1.0.2-beta2, NO es vulnerable (última versión de testing) .
Recomendaciones
Los profesionales de seguridad están alertando de las implicancias prácticas y mencionando que muchos sitios web protegidos con SSL, (esos con direcciones https://) padecen esta vulnerabilidad.
A efectos prácticos conviene considerar que su usuario y contraseña han sido comprometidos y realizar el cambio de los mismos.
Muchos sitios web han sido afectados, incluyendo sitios de compras online y home banking.
También conexiones TOR y VPN que usen SSL, mensajería instantánea y que utilizan la librería OpenSSL son afectados hasta tanto se actualice el software con la versión reparada de OpenSSL.
Filippo Valsorda consultor independiente de criptografía de origen italiano, preparó una página web http://filippo.io/Heartbleed/ desde donde se puede comprobar si un servicio web es vulnerable.
A continuación un reporte de sitios afectados:
 Autor: Eduardo Natali Consultor en seguridad informática y tecnología, desde 1996 brindando servicios en tecnologías de la información en distintas áreas como capacitación, proyecto, soporte, redes, seguridad, desarrollo web, detección y análisis de vulnerabilidades, hacking ético, smarthphones, capacitación. |
Visitas: 11