Anuncio

Si eres una de esas personas que siempre han creído que la criptografía de código abierto es la forma más segura de comunicarse en línea, te sorprenderá un poco.

Esta semana, Neel Mehta, miembro del equipo de seguridad de Google, informó al equipo de desarrollo en OpenSSL que existe un exploit con la función "latido" de OpenSSL. Google descubrió el error al trabajar con la empresa de seguridad Codenomicon para intentar piratear sus propios servidores. Tras la notificación de Google, el 7 de abril, el equipo de OpenSSL lanzó su propio Asesoría de seguridad junto con un parche de emergencia para el error.

El error ya recibió el apodo de "Heartbleed" por analistas de seguridad El experto en seguridad Bruce Schneier sobre contraseñas, privacidad y confianzaObtenga más información sobre seguridad y privacidad en nuestra entrevista con el experto en seguridad Bruce Schneier. Lee mas , porque utiliza la función de "latido" de OpenSSL para engañar a un sistema que ejecuta OpenSSL para que revele información confidencial que puede almacenarse en la memoria del sistema. Si bien gran parte de la información almacenada en la memoria puede no tener mucho valor para los piratas informáticos, la gema capturaría las claves que el sistema utiliza para

cifrar comunicaciones 5 maneras de cifrar de forma segura sus archivos en la nubeSus archivos pueden estar encriptados en tránsito y en los servidores del proveedor de la nube, pero la compañía de almacenamiento en la nube puede descifrarlos, y cualquiera que tenga acceso a su cuenta puede ver los archivos. Lado del cliente... Lee mas .

Una vez que se obtienen las claves, los piratas informáticos pueden descifrar las comunicaciones y capturar información confidencial como contraseñas, números de tarjetas de crédito y más. El único requisito para obtener esas claves sensibles es consumir los datos cifrados del servidor el tiempo suficiente para capturar las claves. El ataque es indetectable e imposible de rastrear.

El OpenSSL Heartbeat Bug

Las ramificaciones de esta falla de seguridad son enormes. OpenSSL se estableció por primera vez en diciembre de 2011, y rápidamente se convirtió en una biblioteca criptográfica utilizada por empresas y organizaciones en todo Internet para encriptar información confidencial y comunicaciones Es el cifrado utilizado por el servidor web Apache, sobre el cual se basa casi la mitad de todos los sitios web en Internet.

Según el equipo de OpenSSL, el agujero de seguridad proviene de una falla de software.

“Una verificación de los límites faltantes en el manejo de la extensión de latido TLS se puede utilizar para revelar hasta 64k de memoria a un cliente o servidor conectado. Solo las versiones 1.0.1 y 1.0.2-beta de OpenSSL se ven afectadas, incluidas 1.0.1f y 1.0.2-beta1 ".

mouse-and-key
Sin dejar ningún rastro en los registros del servidor, los piratas informáticos podrían aprovechar esta debilidad para obtener datos cifrados de algunos de los servidores más sensibles en Internet, como servidores web de bancos, servidores de compañías de tarjetas de crédito, sitios web de pago de facturas y más.

Sin embargo, la probabilidad de que los piratas informáticos obtengan las claves secretas sigue siendo cuestionable, porque Adam Langley, un experto en seguridad de Google, publicó en su flujo de Twitter que sus propias pruebas no revelaron nada tan sensible como las claves de cifrado secretas.

En su Aviso de seguridad el 7 de abril, el equipo de OpenSSL recomendó una actualización inmediata y una solución alternativa para los administradores de servidores que no pueden actualizar.

"Los usuarios afectados deben actualizar a OpenSSL 1.0.1g. Los usuarios que no puedan actualizar de inmediato pueden volver a compilar OpenSSL con -DOPENSSL_NO_HEARTBEATS. 1.0.2 se corregirá en 1.0.2-beta2 ".

Debido a la proliferación de OpenSSL en Internet en los últimos dos años, la probabilidad de que el anuncio de Google conduzca a ataques inminentes es bastante alta. Sin embargo, el impacto de esos ataques puede ser mitigado por tantos administradores de servidores y gerentes de seguridad que actualicen sus sistemas de la compañía a OpenSSL 1.0.1g tan pronto como sea posible.

Fuente: OpenSSL

Ryan tiene una licenciatura en ingeniería eléctrica. Ha trabajado 13 años en ingeniería de automatización, 5 años en TI y ahora es ingeniero de aplicaciones. Ex editor jefe de MakeUseOf, ha hablado en conferencias nacionales sobre visualización de datos y ha aparecido en la televisión y radio nacionales.