¿Excavar a través del Hype ha Heartbleed realmente dañado a alguien?
The Heartbleed bug Heartbleed - ¿Qué puedes hacer para mantenerte seguro? Heartbleed - ¿Qué puedes hacer para mantenerte seguro? Read More ha sido objeto de muchos problemas y ha sido considerada como una de las violaciones de seguridad informática más graves de todos los tiempos. Bug masivo en OpenSSL pone a gran parte de Internet en riesgo Insecto masivo en OpenSSL pone a gran parte de Internet en riesgo si usted está Una de esas personas que siempre han creído que la criptografía de código abierto es la forma más segura de comunicarse en línea, te sorprenderá un poco. Lee mas . Pero algunas personas no están convencidas: después de todo, ¿a quién le ha hecho daño Heartbleed? Bueno, se han reportado varios ataques de Heartbleed que se utilizan para hacer daño real. Si crees que Heartbleed es todo un bombo, piénsalo de nuevo..
900 SINs robados de la Agencia Canadiense de Ingresos
En Canadá, un atacante usó el error Heartbleed contra la Agencia Canadiense de Ingresos, capturando aproximadamente 900 números de seguro social (SIN) que pertenecían a personas que presentaban sus impuestos sobre la renta. Este es básicamente el equivalente canadiense a un atacante que captura números de seguridad social (SSN) del IRS en los Estados Unidos. Algunos datos relacionados con empresas canadienses también fueron robados..
El atacante fue arrestado por capturar estos números, pero no sabemos si el atacante vendió los SIN o se los pasó a otra persona. Al igual que los números de seguridad social en los EE. UU., Estos números generalmente no son modificables; solo pueden cambiarse si usted demuestra que ha sido víctima de fraude. Los contribuyentes afectados deberán suscribirse a un servicio de control de crédito y realizar un seguimiento de las personas que intentan abrir cuentas bancarias y tarjetas de crédito a su nombre. Robo de identidad 6 Señales de advertencia de robo de identidad digital que no debe ignorar 6 Señales de advertencia de robo de identidad digital que no debe ignorar El robo de identidad no es algo muy raro en estos días, sin embargo, a menudo caemos en la trampa de pensar que Siempre le pasará a "alguien más". No ignore las señales de advertencia. Leer más es una preocupación seria aquí.
Mumsnet y otros robos de contraseñas
Mumsnet anunció recientemente que está obligando a todos los usuarios a cambiar sus contraseñas. Esto no era solo una medida preventiva: Mumsnet tenía motivos para creer que los atacantes habían obtenido acceso a las contraseñas y mensajes privados de hasta 1.5 millones de usuarios..
Probablemente este no sea el único sitio web al que se le hayan robado contraseñas confidenciales. Si las personas cometen el gran error de reutilizar la misma contraseña en varios sitios web, un atacante puede acceder a otras cuentas. Por ejemplo, si alguien está usando la misma contraseña tanto para su cuenta Mumsnet como para la cuenta de correo electrónico vinculada a su cuenta Mumsnet, el atacante puede ingresar a esa cuenta de correo electrónico. Desde allí, el atacante puede restablecer otras contraseñas y acceder a otras cuentas.
Si recibió un correo electrónico de un servicio que le aconseja cambiar su contraseña y asegurarse de que no está usando la misma contraseña en otro lugar, es posible que el servicio haya robado sus contraseñas, o que hayan robado sus contraseñas y no esté seguro.
Secuestro de VPN y robo de claves privadas
La empresa de seguridad Mandiant anunció que los atacantes utilizaron Heartbleed para violar una VPN corporativa interna, o red privada virtual, que pertenece a uno de sus clientes. La VPN estaba usando autenticación multifactor. Qué es la autenticación de dos factores, y por qué debería usarla. Qué es una autenticación de dos factores, y por qué debería usarla. La autenticación de dos factores (2FA) es un método de seguridad que requiere dos formas diferentes de probar tu identidad. Se utiliza comúnmente en la vida cotidiana. Por ejemplo, pagar con una tarjeta de crédito no solo requiere la tarjeta, ... Leer más, pero eso no importó: el atacante pudo robar claves privadas de encriptación de un dispositivo VPN con el ataque Heartbleed y luego pudo secuestrarlas para activarlas. sesiones.
No sabemos qué empresa fue atacada aquí. Mandiant acaba de anunciar que era una “Corporacion mayor.” Ataques como este podrían usarse para robar datos corporativos confidenciales o infectar redes corporativas internas. Si las empresas no se aseguran de que sus redes no sean vulnerables a Heartbleed, su seguridad puede ser anulada fácilmente.
La única razón por la que escuchamos sobre esto es porque Mandiant quiere animar a las personas a proteger sus servidores VPN. No sabemos qué empresa fue atacada aquí porque las empresas no quieren anunciar que han sido comprometidas.
Este no es el único caso confirmado de que Heartbleed se usó para robar una clave de cifrado privada de la memoria de un servidor en ejecución. CloudFlare dudó que Heartbleed pudiera ser usado para robar claves de cifrado privadas y lanzó un desafío: intente obtener la clave de cifrado privada de nuestro servidor si puede. Varias personas obtuvieron la clave privada en un solo día..
Agencias estatales de vigilancia
De manera controversial, las agencias estatales de vigilancia e inteligencia pudieron haber descubierto y explotado el error Heartbleed antes de que se hiciera público. Bloomberg informó que la NSA ha explotado Heartbleed durante al menos dos años. La NSA y la Casa Blanca lo negaron, pero el director de inteligencia nacional James Clapper dijo que la NSA no recopiló datos sobre millones de estadounidenses antes de que se conocieran las actividades de vigilancia de la NSA, algo que ahora sabemos que no es cierto. ¿Qué es PRISM? Todo lo que necesitas saber ¿Qué es PRISM? Todo lo que necesita saber La Agencia de Seguridad Nacional de los EE. UU. Tiene acceso a los datos que almacena con proveedores de servicios de EE. UU. Como Google Microsoft, Yahoo y Facebook. También es probable que supervisen la mayor parte del tráfico que fluye a través del ... Leer más. También sabemos que la NSA almacena vulnerabilidades de seguridad para su uso contra objetivos de vigilancia en lugar de informarlas para que puedan solucionarse..
Aparte de la NSA, hay otras agencias estatales de vigilancia en el mundo. Es posible que la agencia de vigilancia estatal de otro país descubriera este error y lo estuviera utilizando contra objetivos de vigilancia, posiblemente incluso corporaciones con sede en los Estados Unidos y agencias gubernamentales. No podemos saber nada con certeza aquí, pero es muy posible que Heartbleed se haya utilizado para actividades de espionaje antes de que se divulgara públicamente; sin duda, se utilizará para estos fines ahora que es de conocimiento público.!
Simplemente no sabemos
Simplemente no sabemos cuánto daño ha hecho Heartbleed todavía. Las empresas que terminan con brechas gracias a Heartbleed a menudo querrán evitar hacer anuncios vergonzosos que puedan perjudicar su negocio o los precios de sus acciones. En general, es más fácil tratar el problema internamente en lugar de dejar que el mundo lo sepa..
En muchos otros casos, los servicios no sabrán que han sido mordidos por Heartbleed. Gracias al tipo de solicitud que utiliza la vulnerabilidad Heartbleed, los ataques Heartbleed no se mostrarán en muchos registros del servidor. Seguirá apareciendo en los registros de tráfico de la red si sabe qué buscar, pero no todas las organizaciones saben qué buscar..
También es posible que el error Heartbleed haya sido explotado en el pasado, antes de que se hiciera público. Es posible que los ciberdelincuentes o, más probablemente, las agencias de vigilancia estatales hayan descubierto el error y lo hayan estado utilizando. Los ejemplos aquí son solo una instantánea de las pocas cosas que sabemos.
El bombo está justificado: es importante que tengamos los servicios y dispositivos actualizados lo más rápido posible para ayudar a reducir el daño y evitar peores ataques en el futuro..
Crédito de la imagen: snoopsmas en Flickr, ChrisDag en Flickr
Explorar más sobre: Seguridad en línea, SSL.