Cinco detalles que debe saber
sobre Heartbleed
En las recientes horas se ha dado a conocer una falla
de seguridad en OpenSSL que cobró mucha relevancia, al dejar
al descubierto información sensible de diversos sitios. Por tal razón, ESET, compañía líder en la detección
proactiva de amenazas, te cuenta todo acerca de Heartbleed.
¿Qué sucede exactamente?
Una falla en algunas versiones del software gratuito OpenSSL,
que muchos sitios utilizan para encriptar y transmitir información de forma
segura, podría permitir que la seguridad de los mismos sea vulnerada. Se trata
de una vulnerabilidad (CVE-2014-0160) llamada Heartbleed, que fue descubierta por ingenieros de la firma de
seguridad Codenomicon en
conjunto con un investigador de Google.
Afecta a una funcionalidad de OpenSSL llamada
Heartbeat, y de ahí proviene su
nombre.
¿En qué consiste la falla?
La vulnerabilidad permite que, de forma remota, un
atacante pueda leer 64 KB de
información en la memoria del servicio vulnerable, pudiendo tener acceso a
cualquier información crítica allí alojada, como ser credenciales del sistema, tokens, certificados, etc. A su vez, si
un usuario accede a un sitio vulnerable y un atacante se encuentra dentro de la
misma red, este podría realizar un ataque llamado Man In The Middle (MITM). Así, podría leer información
confidencial como credenciales o Cookies de sesión que le permitirían suplantar
al usuario dentro de dicho sitio.
¿Quiénes fueron afectados?
Se ha nombrado a servicios populares como el
correo de Yahoo, el banco de
imágenes Flickr, Imgur, Eventbrite y
la web de citas OkCupid. Otro
afectado fue el gestor de contraseñas LastPass,
aunque desde el servicio afirmaron que las múltiples capas de
encriptación que ofrecen mantienen a salvo a sus usuarios.
Aquí podrán consultar una lista completa de
los dominios conocidos que han quedado al descubierto en algún
momento. Algunos de ellos ya son seguros otra vez, pero es complicado
determinar el alcance de la fuga de información en cada caso.
¿Por qué tomó tanta dimensión?
Esto se debe principalmente a que los programas más
populares de código abierto utilizados para montar servidores web, como Apache o Nginx, utilizan por defecto OpenSSL. Por lo tanto, el
alcance de la falla podría ser tan grande como el alcance de dichos servidores (siempre
y cuando utilicen versiones vulnerables de OpenSSL).
Una encuesta realizada por Netcraft este
mes indica que el market share de
ambos programas combinados (Apache y Nginx) representa aproximadamente el 66%
de los sitios activos en Internet.
¿Qué puedes hacer?
Joaquín Rodríguez Varela, Senior
Security Researcher de ESET,
recomienda que los usuarios de cualquiera de los sitios vulnerados por Heartbleed validen que el problema haya
sido solucionado dentro de los mismos, y luego cambien las credenciales de
acceso, solo de manera preventiva.
Además, comenta el especialista, hay
un sitio en el cual se puede verificar si una página
web es actualmente vulnerable a este ataque. Si bien el resultado no es 100%
certero por la existencia de falsos positivos y falsos negativos, se podrá
realizar un testeo rápido y sencillo.
En caso de que se gestione un sitio que utilice OpenSSL para cifrar las
comunicaciones, se recomienda validar si su versión es vulnerable en primer
lugar:
- OpenSSL 1.0.1 a 1.0.1f (inclusive) son vulnerables
- OpenSSL 1.0.1g NO es vulnerable (última versión estable)
- OpenSSL 1.0.0 NO es vulnerable
- OpenSSL 0.9.8 NO es vulnerable
“Si se está utilizando una
versión vulnerable se la deberá actualizar,
preferentemente a la versión 1.0.1g, y cambiar las credenciales y certificados del sitio. Se
recomienda también informar a los usuarios o clientes, en caso de existir, que
es recomendable que cambien sus credenciales solo por prevención”, finaliza Varela.
Visítelos en:
@ESETLA
/company/eset-latinoamerica
@ESETLA/company/eset-latinoamerica
No hay comentarios:
Publicar un comentario