Error masivo en OpenSSL pone en riesgo gran parte de Internet
Si eres una de esas personas que siempre han creído que la criptografía de código abierto es la forma más segura de comunicarse en línea, te sorprenderá un poco..
Esta semana, Neel Mehta, miembro del equipo de seguridad de Google, informó al equipo de desarrollo de OpenSSL que existe una vulnerabilidad con OpenSSL. “latido del corazón” característica. Google descubrió el error al trabajar con la firma de seguridad Codenomicon para intentar piratear sus propios servidores. Tras la notificación de Google, el 7 de abril, el equipo de OpenSSL lanzó su propio Aviso de Seguridad junto con un parche de emergencia para el error.
El error ya ha recibido el apodo. “Heartbleed” por analistas de seguridad Bruce Schneier, experto en seguridad sobre contraseñas, privacidad y confianza Bruce Schneier, experto en seguridad sobre contraseñas, privacidad y confianza Obtenga más información sobre seguridad y privacidad en nuestra entrevista con el experto en seguridad Bruce Schneier. Leer más, porque utiliza OpenSSL “latido del corazón” función para engañar a un sistema que ejecuta OpenSSL para que revele información confidencial que se puede almacenar en la memoria del sistema. Si bien gran parte de la información almacenada en la memoria puede no tener mucho valor para los piratas informáticos, la gema capturará las mismas claves que utiliza el sistema para cifrar las comunicaciones. 5 maneras de cifrar de forma segura sus archivos en la nube 5 formas de cifrar de forma segura sus archivos en la nube Nube Sus archivos pueden estar cifrados en tránsito y en los servidores del proveedor de la nube, pero la compañía de almacenamiento en la nube puede descifrarlos, y cualquier persona que tenga acceso a su cuenta puede ver los archivos. Del lado del cliente ... Leer más .
Una vez que se obtienen las claves, los piratas informáticos pueden descifrar las comunicaciones y capturar información confidencial como contraseñas, números de tarjetas de crédito y más. El único requisito para obtener esas claves confidenciales es consumir los datos cifrados del servidor el tiempo suficiente para capturar las claves. El ataque es indetectable y no se puede rastrear..
El error del latido del corazón de OpenSSL
Las ramificaciones de esta falla de seguridad son enormes. OpenSSL se estableció por primera vez en diciembre de 2011, y rápidamente se convirtió en una biblioteca criptográfica utilizada por compañías y organizaciones en todo el Internet para cifrar información y comunicaciones confidenciales. Es el cifrado utilizado por el servidor web Apache, en el que se basa casi la mitad de todos los sitios web de Internet..
Según el equipo de OpenSSL, el agujero de seguridad proviene de una falla de software.
“Una verificación de límites faltantes en el manejo de la extensión del latido del corazón TLS se puede usar para revelar hasta 64k de memoria a un cliente o servidor conectado. Solo las versiones 1.0.1 y 1.0.2-beta de OpenSSL están afectadas, incluidas 1.0.1f y 1.0.2-beta1.”
Sin dejar rastro en los registros del servidor, los piratas informáticos podrían aprovechar esta debilidad para obtener datos encriptados de algunos de los servidores más confidenciales de Internet, como servidores web de bancos, servidores de compañías de tarjetas de crédito, sitios web de pago de facturas y más.
Sin embargo, la posibilidad de que los piratas informáticos obtengan las claves secretas sigue siendo cuestionable, porque Adam Langley, un experto en seguridad de Google, publicó en su cuenta de Twitter que sus propias pruebas no revelaron nada tan sensible como las claves de cifrado secretas..
En su Aviso de seguridad el 7 de abril, el equipo de OpenSSL recomendó una actualización inmediata y una solución alternativa para los administradores de servidores que no pueden actualizar.
“Los usuarios afectados deben actualizar a OpenSSL 1.0.1g. Los usuarios que no pueden actualizar inmediatamente pueden volver a compilar OpenSSL con -DOPENSSL_NO_HEARTBEATS. 1.0.2 se fijará en 1.0.2-beta2.”
Debido a la proliferación de OpenSSL en Internet en los últimos dos años, la probabilidad de que el anuncio de Google que conduzca a ataques inminentes sea bastante alta. Sin embargo, el impacto de esos ataques puede ser mitigado por la mayor cantidad de administradores de servidores y administradores de seguridad que actualicen los sistemas de su empresa a OpenSSL 1.0.1g lo antes posible..
Fuente: OpenSSL
Explore más acerca de: Seguridad en línea, OpenSSL, Contraseña, SSL.