Owen Little
0 
1243
300
Si eres una de esas personas que siempre han creído que la criptografía de código abierto es la forma más segura de comunicarse en línea, te sorprenderá un poco.
Esta semana, Neel Mehta, miembro del equipo de seguridad de Google, informó al equipo de desarrollo de OpenSSL que existe una vulnerabilidad con OpenSSL “latido del corazón” característica. Google descubrió el error al trabajar con la empresa de seguridad Codenomicon para intentar piratear sus propios servidores. Tras la notificación de Google, el 7 de abril, el equipo de OpenSSL lanzó su propio Aviso de seguridad junto con un parche de emergencia para el error.
El error ya recibió el apodo “Heartbleed” por analistas de seguridad El experto en seguridad Bruce Schneier sobre contraseñas, privacidad y confianza El experto en seguridad Bruce Schneier sobre contraseñas, privacidad y confianza Obtenga más información sobre seguridad y privacidad en nuestra entrevista con el experto en seguridad Bruce Schneier. , porque utiliza OpenSSL's “latido del corazón” característica para engañar a un sistema que ejecuta OpenSSL para que revele información confidencial que puede almacenarse en la memoria del sistema. Si bien gran parte de la información almacenada en la memoria puede no tener mucho valor para los piratas informáticos, la gema capturaría las claves que el sistema utiliza para cifrar las comunicaciones. 5 formas de cifrar de forma segura sus archivos en la nube. 5 formas de cifrar sus archivos de forma segura. Nube Sus archivos pueden estar encriptados en tránsito y en los servidores del proveedor de la nube, pero la compañía de almacenamiento en la nube puede descifrarlos, y cualquier persona que tenga acceso a su cuenta puede ver los archivos. Lado del cliente… .
Una vez que se obtienen las claves, los piratas informáticos pueden descifrar las comunicaciones y capturar información confidencial como contraseñas, números de tarjetas de crédito y más. El único requisito para obtener esas claves confidenciales es consumir los datos cifrados del servidor el tiempo suficiente para capturar las claves. El ataque es indetectable e imposible de rastrear..
El OpenSSL Heartbeat Bug
Las ramificaciones de esta falla de seguridad son enormes. OpenSSL se estableció por primera vez en diciembre de 2011, y rápidamente se convirtió en una biblioteca criptográfica utilizada por empresas y organizaciones en todo Internet para encriptar información y comunicaciones confidenciales. Es el cifrado utilizado por el servidor web Apache, sobre el cual se basa casi la mitad de todos los sitios web en Internet.
Según el equipo de OpenSSL, el agujero de seguridad proviene de una falla de software.
“Una verificación de límites faltantes en el manejo de la extensión de latido TLS se puede utilizar para revelar hasta 64k de memoria a un cliente o servidor conectado. Solo las versiones 1.0.1 y 1.0.2-beta de OpenSSL se ven afectadas, incluidas 1.0.1f y 1.0.2-beta1.”
Sin dejar rastro en los registros del servidor, los piratas informáticos podrían explotar esta debilidad para obtener datos cifrados de algunos de los servidores más sensibles de Internet, como los servidores web de los bancos, los servidores de las compañías de tarjetas de crédito, los sitios web de pago de facturas y más.
Sin embargo, la probabilidad de que los piratas informáticos obtengan las claves secretas sigue siendo cuestionable, porque Adam Langley, un experto en seguridad de Google, publicó en su transmisión de Twitter que sus propias pruebas no arrojaron nada tan sensible como las claves de cifrado secretas..
En su Aviso de seguridad el 7 de abril, el equipo de OpenSSL recomendó una actualización inmediata y una solución alternativa para los administradores de servidores que no pueden actualizar.
“Los usuarios afectados deben actualizar a OpenSSL 1.0.1g. Los usuarios que no puedan actualizar de inmediato pueden volver a compilar OpenSSL con -DOPENSSL_NO_HEARTBEATS. 1.0.2 se corregirá en 1.0.2-beta2.”
Debido a la proliferación de OpenSSL en Internet en los últimos dos años, la probabilidad de que el anuncio de Google conduzca a ataques inminentes es bastante alta. Sin embargo, el impacto de esos ataques puede ser mitigado por tantos administradores de servidores y gerentes de seguridad que actualicen sus sistemas de la compañía a OpenSSL 1.0.1g lo antes posible.
Fuente: OpenSSL