El peligro confirmado Heartbleed realmente abre las claves criptográficas a los hackers

Las noticias de Cloudflare el viernes indican que el debate ha terminado sobre si la nueva vulnerabilidad OpenSSL Heartbleed podría utilizarse para obtener claves de cifrado privadas de servidores y sitios web vulnerables. Cloudflare confirmó que las pruebas independientes realizadas por terceros revelaron que esto es cierto. Las claves de cifrado privadas están en riesgo.

MakeUseOf reportó anteriormente el error OpenSSL. Error masivo en OpenSSL. Pone gran parte de Internet en riesgo. Error masivo en OpenSSL pone a gran parte de Internet en riesgo. En línea, te espera un poco de sorpresa. Lea más la semana pasada, e indicó en ese momento que aún las claves de cifrado eran vulnerables aún estaban en duda, porque Adam Langley, un experto en seguridad de Google, no podía confirmar que ese fuera el caso..

Cloudflare originalmente emitió una “Desafío de Heartbleed” el viernes, configuró un servidor nginx con la instalación vulnerable de OpenSSL en su lugar, y desafió a la comunidad de piratas informáticos a intentar obtener la clave de cifrado privada del servidor. Los hackers en línea saltaron para enfrentar el desafío, y dos personas tuvieron éxito a partir del viernes, y varias más “éxitos” seguido. Cada intento exitoso de extraer claves de cifrado privadas solo a través de la vulnerabilidad de Heartbleed se suma a la creciente evidencia de que el impacto de Hearbleed podría ser peor de lo que se sospechaba originalmente.

La primera presentación se realizó el mismo día en que se emitió el desafío, por un ingeniero de software llamado Fedor Indutny. Fedor tuvo éxito después de golpear el servidor con 2.5 millones de solicitudes.

La segunda presentación provino de Ilkka Mattila en el Centro Nacional de Seguridad Cibernética en Helsinki, que solo necesitó alrededor de cien mil solicitudes para obtener las claves de cifrado..

Después de que se anunciaron los dos primeros ganadores del desafío, Cloudflare actualizó su blog el sábado con otros dos ganadores confirmados: Rubin Xu, estudiante de doctorado en la Universidad de Cambridge, y Ben Murphy, investigador de seguridad. Ambas personas demostraron que fueron capaces de extraer la clave de cifrado privada del servidor, y Cloudflare confirmó que todas las personas que superaron con éxito el desafío no usaron nada más que solo el exploit de Heartbleed.

Los peligros planteados por un pirata informático que obtiene la clave de cifrado en un servidor están muy extendidos. Pero debes estar preocupado?

Como Christian señaló recientemente, muchas fuentes de los medios de comunicación están exagerando la amenaza que supone Heartbleed: ¿Qué puede hacer para mantenerse seguro? Heartbleed - ¿Qué puedes hacer para mantenerte seguro? Lea más por la vulnerabilidad, por lo que puede ser difícil medir el peligro real.

Qué puede hacer: averiguar si los servicios en línea que utiliza son vulnerables (Christian proporcionó varios recursos en el enlace de arriba). Si lo son, evite usar ese servicio hasta que escuche que los servidores han sido parcheados. No ejecute para cambiar sus contraseñas, ya que solo está proporcionando más datos transmitidos para que los piratas descifren y obtengan sus datos. Descanse, supervise el estado de los servidores y, cuando hayan sido parcheados, entre y cambie sus contraseñas de inmediato.

Fuente: Ars Technica | Crédito de la imagen: Silhouette of a Hacker por GlibStock en Shutterstock

Explorar más sobre: ​​cifrado, seguridad en línea.