Geek the Planet


Seguridad heartbleed openssl bug

Published on Abril 11th, 2014 | by Angelfire

0

¿Qué es Heartbleed y por qué debemos temerle?

Heartbleed es un agujero de seguridad en la librería de código abierto OpenSSL, que permite a un atacante leer la memoria de un servidor o un cliente, permitiendole por ejemplo, conseguir las claves privadas SSL de un servidor.

El pasado lunes un grupo de seguridad finlandés llamado Codenomico dió a conocer esta vulnerabilidad, pero algunas auditorías muestran que al parecer algunos atacantes han explotado esta falla por al menos cinco meses antes de que fuera descubierta y publicada.

66% de los sitios de Internet usan este protocolo, cualquier web puede ser vulnerable en estos momentos. Y por si esto fuera poco, este fallo se conoce desde hace 2 años, por lo que el alcance puede haber sido masivo.

En el siguiente tweet, el analista de Malware Mark Loman muestra como era posible extraer fácilmente (para alguien con el conocimiento necesario, claro está) el nombre de usuario y contraseña de un usuario de Yahoo!

 

Acá pueden ver una lista con el top 1000 de sitios de Alexa. Yahoo! parece estar aún vulnerable…

Han creado una aplicación llamada Heartbleed test, permite saber si el servidor en el que tienes hospedada tu aplicación/sitio web es vulnerable a este terrible bug.

Explicación técnica (inglés)

El Dr. Steven Bagley explica como funciona.

Imagen de previsualización de YouTube

¿Qué pueden hacer los usuarios?

Realmente no hay nada que un usuario normal de internet pueda hacer, más allá de intentar proteger su privacidad evitando en lo posible navegar en sitios donde se requiera el manejo de datos sensibles. Solo debemos esperar que en los próximos días se solucione el problema.

Leer más: The Hacker News

RFC HeartBleed

Tags: , ,


About the Author

Systems Engineering, Computer Systems Specialist, Social Engineering Specialist. Social Media Analyzer. Usability and SEO enthusiasm (Este es mi perfil de Twitter...)



Comments are closed.

Back to Top ↑
  • Comentarios recientes

  • Miniposts

    • iOS 8 disponible para descargar

      Hoy se anunció de manera oficial iOS 8, la fecha de llegada será el próximo 17 de septiembre. En iPhonehacks han recopilado los enlaces de descarga directo para los diferentes dispositivos que soportan la nueva versión del sistema operativo. Así que para quienes no desean esperar, ya pueden acceder a la versión Golden Master ...

    • Festigame Colombia 2014

      El festival de videojuegos, cultura gamer y entretenimiento familiar más grande de América Latina ha llegado a nuestro país. Festigame que es un evento creado en Chile en 2012, se ha convertido en el evento anual donde las marcas más importantes de la industria presentan sus últimos productos en el ...

    • Peter Griffin también tiene cuenta en Instagram

      El protagonista de la serie de humor, Padre de Familia, Peter Griffin ha inaugurado su presencia en la red social de fotografía con divertidas fotografías de su vida, y a pesar de ser un personaje de ficción ya ha superado los 200.000 seguidores en tan sólo dos semanas. Son unas fotos bastante divertidas, las ...

    • Manual y documentación de Node.js para Android

      Node.js se ha venido haciendo bastante popular en los últimos años, cada vez son más los usos que como desarrolladores web le damos a esta tecnología. La siguiente aplicación es el manual y la documentación de Node.js, que contiene los siguientes temas: About these Docs Synopsis Assertion Testing Buffer C/C++ Addons Child Processes Cluster Console Crypto Debugger DNS Domain Events File System Globals HTTP HTTPS Modules Net OS Path Process Punycode Query Strings Readline REPL Stream String Decoder Timers TLS/SSL TTY UDP/Datagram URL Utilities VM ZLIB

    • Star Wars Traceroute

      ¿Qué pasa cuando un ingeniero está muy desocupado? pues pasan cosas como esta: Mac y Linux Van a la consola y escriben: traceroute 216.81.59.173 Windows Buscan el CMD y escriben: tracert 216.81.59.173 El resultado es interesante y sorprendente. Si quieren ver la salida de la ejecución del comando, pueden ver el gist Ver más: Beagle Network

  • Comunicados - Notas de Prensa