Evaluar Conozca los pros y contras de las tecnologías, productos y proyectos que está considerando.

La debilidad heartbleed puede hacer sangrar su servidor web

OpenSSL tiene una debilidad llamada CVE-2014-0160, o heartbleed, que permite leer la memoria de un servidor y reconstruir llaves privadas, contraseñas, etc.

La librería OpenSSL tiene una debilidad. Llamada CVE-2014-0160, esta vulnerabilidad le permite a un atacante leer la memoria de un servidor múltiples veces e ir reconstruyendo lo que ahí se encuentre, como llaves privadas usadas por los certificados digitales para cifrar comunicaciones, nombres de usuario, contraseñas, correos y documentos.

OpenSSL es una implementación de los protocolos SSL y TLS, utilizada por una importante parte de los servidores web alrededor del mundo para establecer canales protegidos entre un navegador y un servidor (el famoso https). La vulnerabilidad que mencionamos fue introducida en OpenSSL 1.0.1, publicado en marzo de 2012, y afecta también las ediciones 1.0.2-beta, 1.0.1f y 1.0.2-beta1, pero fue arreglada en OpenSSL 1.0.1g, publicada en abril de 2014.

A continuación, le presento una serie de preguntas y respuestas que le ayudarán a conocer los detalles de esta debilidad:

¿Por qué fue bautizada como Heartbleed?

Porque la debilidad está en un módulo llamado “heartbeat” (latido del corazón, en inglés) del protocolo de TLS. Así, heartbleed sería “sangrado de corazón” por las brechas que permite.

¿Puede un atacante leer una parte específica de la memoria del servidor?

No, pero puede leer la memoria –de 64 kilobytes en 64 kilobytes– múltiples veces, logrando hacer lo que se conoce como un “memory dump”. Esta extracción de la memoria no deja rastros (logs) en el servidor, pero se puede detectar con herramientas como Snort.

¿Tu servidor está afectado?

Si tiene la versión vulnerable de OpenSSL, sí. Hay algunos tests en línea para verificar esto, tales como: https://www.ssllabs.com/ssltest/index.html, https://lastpass.com/heartbleed/ y http://filippo.io/Heartbleed/.

¿La debilidad está presente en el protocolo o en la implementación?

Una cosa es el protocolo y otra es la implementación del protocolo. EL protocolo dice qué hacer, pero el desarrollador de software interpreta el protocolo y lo convierte en un programa (implementación). Para variar, heartbleed es un error de implementación, no del protocolo. Es decir, alguien dijo qué hacer, pero no supieron cómo hacerlo.

¿Te debes preocupar?

Si usted es administrador de un servidor web y tiene contenido protegido con https, vale la pena revisar si está afectado y en dado caso actualizar su OpenSSL a la última versión. Se debe tener especial cuidado si tiene levantado Apache o nginx que usan OpenSSL. Y como probablemente no sepa si alguien aprovechó esta debilidad en días pasados, depende de usted tomar medidas adicionales con sus usuarios, por ejemplo que cambien su contraseña.

Debe saber que alguien que lo haya atacado pudo levantar un servidor web falso, pero que parecía válido para los usuarios (pudo hacer un clon que pareció real). Por último, estaría exento de culpa si en su servidor web usa “perfect forward secrecy”, o bien, si ya está cifrando el contenido que de por sí viaja cifrado por el canal establecido por OpenSSL (doble cifrado). LastPass aplica estas dos últimas medidas.

Hay que tener en cuenta que no solo Apache y similares usan OpenSSL, sino también SMTP, POP e IMAP pudieran estar usando la versión vulnerable. Mejor revise: ya está advertido.

Si usted es un usuario, no hay mucho que pueda hacer. No puede cambiar usted mismo la versión OpenSSL del servidor. Lo que puede hacer es ir a los sitios antes mencionados para revisar si su sitio favorito está enlistado. Puede ser que lo hayan arreglado recientemente y que alguien ya haya extraído su contraseña, así que si lo mejor sería que fuera directamente a cambiar las contraseñas que usa para sus sitios web. Por cierto, de nada sirve cambiar su contraseña si el sitio no ha migrado a la nueva versión de OpenSSL y sigue siendo vulnerable hoy en día.

¿Cómo solucionarlo?

Primero debe migrar a la nueva versión de OpenSSL, y luego debe generar un nuevo certificado digital para tener nuevas llaves criptográficas, pues las que tenía pudieron haber sido robadas en un ataque.

¿Hay muchos servidores afectados?

El 8 de abril de 2014 se hizo una prueba de varios servidores web, y se publicó una lista con los afectados. Puede buscar en Google “list sites affected heartbleed” para más información.

¿Esta debilidad está exagerada por los medios?

Pongamos las cosas en su justa dimensión: Sabemos que la debilidad existe desde hace un par de años, pero no sabemos si ha sido explotada desde entonces o no, ni por quién. Mi conjetura es que si se ha explotado, ha sido en ataques dirigidos. No creo que debamos correr a cambiar todas las contraseñas de todos los sitios web que usamos, ni que internet como lo conocemos deje de existir. Creo que lo importante es, ahora que se publicó esta debilidad, llegar a conocerla y tomar medidas razonables si nos afecta, sea como administradores o como usuarios de sitios.

Puede usar Google para obtener más información detallada o para ampliar la manera de solucionarlo. Busque “heartbleed openssl”, y haga que sus conexiones https sean realmente seguras.

Profundice más

Inicie la conversación

Envíenme notificaciones cuando otros miembros comenten sobre este artículo.

Por favor cree un Nombre de usuario para poder comentar.

- ANUNCIOS POR GOOGLE

Close