 |
| HeartBleed. Imagen tomada de: eltiempo.com. |
No es un virus. No se saben sus alcances. Ya hay una cura al problema.
Investigadores de Google y de la empresa de seguridad Codenomicon detectaron un fallo que, según expertos, es el más grave que se ha presentado en los últimos años en el estándar OpenSSL, un conjunto de herramientas gratuitas utilizadas para navegar de forma segura por la web, el cual restringe el acceso de terceros a los datos personales de otros usuarios, como sus correos electrónicos, contraseñas, entre otros.
Se creó una página enfocada en la resolución de este problema: https://heartbleed.com/
Tenga en cuenta: el servidor es un equipo donde se almacenan datos, páginas web, aplicaciones, servicios. Información como los correos de Outlook o Gmail se almacenan en un servidor.
EL TIEMPO habló con Juan Pablo Páez Sánchez, gerente de preventa de McAfee, y con Joaquín Rodríguez, vocero para Latinoamérica de la firma de seguridad informática ESET, para resolver las principales dudas referentes a este error informático. Estas son las conclusiones de los expertos:
¿En qué consiste este error?
‘HeartBleed’ es un error que, en esencia, permite extraer información de los servidores mediante una brecha. Es como si alguien, de repente, pudiera escuchar nuestras conversaciones telefónicas privadas. El cibercriminal puede entrometerse en el diálogo entre el PC del usuario y el servidor. La vulnerabilidad existe por un error de programación en el estándar OpenSSL.
¿Por qué es peligroso?
Porque el estándar OpenSSL es usado de forma masiva para generar comunicaciones seguras entre el usuario y el servidor. Ahora se descubrió que no era invulnerable. Imagine que la comunicación va por un túnel. Hay una suerte de gotera que ayuda a que se filtren piezas de información privada.
¿Qué tipo de información se puede extraer de los servidores?
Contraseñas, nombres de usuarios, mensajes instantáneos, correos e información crítica de negocios, números de tarjeta de crédito, entre otros.
¿Por qué se llama HeartBleed?
Existe un mecanismo que usan los pc de los usuarios y los servidores para saber si la conexión está funcionando: una suerte de latido (paquete de información) que va de los computadores de los usuarios a los servidores y viceversa. En inglés sería un ‘Heartbeat Command’. Puede tratarse de una palabra de 5 bytes (como ‘hola’). En una versión OpenSSL sin el error, el servidor recibe la palabra de 5 bytes y se asegura de devolver la misma palabra de 5 bytes. De ese modo, ambas partes de la comunicación reconocen su existencia, como el saludo en una llamada.
Ocurre que debido al error de OpenSSL el PC le envía un saludo al servidor y este no solo le devuelve el saludo al usuario sino que le brinda información adicional y no revisa si eso es correcto. Si debía devolver 5 bytes, puede terminar retornando hasta 64.000. ¿De dónde saldrían esos 63.955 bytes adicionales? De lo que el servidor esté leyendo en ese momento en su memoria. Como si aparte del saludo, dijera una serie de pensamientos en voz alta, entre los cuales se pueden incluir detalles privados.
¿A quiénes afecta?
A todos los servidores que continúen usando la versiones de la OpenSSL 1.0.1 a la 1.0.1f . No son vulnerables la OpenSSL 1.0.1g, la 1.0.0 y la 0.9.8.El ‘bug’ ha estado presente en servidores desde el 14 de mayo de 2012. Algunos sistemas operativos que incorporan OpenSSL han sido presentados al mercado con esta falencia en los últimos dos años.
¿Se puede arreglar el estándar OpenSSL?
Sí, el error ya fue resuelto en la última versión de OpenSSL, la 1.0.1g lanzada el 7 de abril de 2014. La puede descargar de aquí.
¿Se puede detectar un ataque que aproveche 'HeartBleed'?
No es fácil, el error permite que se extraiga información del servidor sin que se deje rastro alguno. Tampoco se sabe con certeza qué tanto provecho de ha sacado de la vulnerabilidad en los últimos dos años.
¿Qué pueden hacer los usuarios?
Algunos expertos han recomendado cambiar contraseñas de los principales servicios que habrían resultado afectados (entre los que se encuentran Dropbox, Twitter, Tumblr, DuckDuckGo, Github, y los proveedores de hosting de Amazon y Herok según el portal Netcraft). Sin embargo, al tratarse de un error que afecta al canal de comunicación y no solo a la puerta de acceso, sería insuficiente. La principal responsabilidad recae en las empresas que deben actualizar el estándar OpenSSL.
¿Cualquier sitio con este error será hackeado?
No, la existencia de la brecha HeartBleed solo implica que existe una ventana, una gotera. No supone, en sí misma, que el sitio será vulnerado, pero se encuentra en riesgo.
¿Aún existe la brecha de seguridad?
Según Páez, sí, hay empresas que todavía no han implementado mejoras. "No es sencillo, para actualizar los sistemas implica ceses de servicio, por ejemplo".
¿Cómo saber si su servidor es vulnerable?
Si quiere saber si la versión OpenSSL que utiliza una página en línea específica es vulnerable frente a esta amenaza, puede realizarle un ‘Heartbleed test’ en esta dirección: www.filippo.io/Heartbleed/
Tomado de: El Tiempo
No hay comentarios.:
Publicar un comentario