Geek the Planet


Seguridad heartbleed openssl bug

Published on abril 11th, 2014 | by Angelfire

0

¿Qué es Heartbleed y por qué debemos temerle?

Heartbleed es un agujero de seguridad en la librería de código abierto OpenSSL, que permite a un atacante leer la memoria de un servidor o un cliente, permitiendole por ejemplo, conseguir las claves privadas SSL de un servidor.

El pasado lunes un grupo de seguridad finlandés llamado Codenomico dió a conocer esta vulnerabilidad, pero algunas auditorías muestran que al parecer algunos atacantes han explotado esta falla por al menos cinco meses antes de que fuera descubierta y publicada.

66% de los sitios de Internet usan este protocolo, cualquier web puede ser vulnerable en estos momentos. Y por si esto fuera poco, este fallo se conoce desde hace 2 años, por lo que el alcance puede haber sido masivo.

En el siguiente tweet, el analista de Malware Mark Loman muestra como era posible extraer fácilmente (para alguien con el conocimiento necesario, claro está) el nombre de usuario y contraseña de un usuario de Yahoo!

 

Acá pueden ver una lista con el top 1000 de sitios de Alexa. Yahoo! parece estar aún vulnerable…

Han creado una aplicación llamada Heartbleed test, permite saber si el servidor en el que tienes hospedada tu aplicación/sitio web es vulnerable a este terrible bug.

Explicación técnica (inglés)

El Dr. Steven Bagley explica como funciona.

Imagen de previsualización de YouTube

¿Qué pueden hacer los usuarios?

Realmente no hay nada que un usuario normal de internet pueda hacer, más allá de intentar proteger su privacidad evitando en lo posible navegar en sitios donde se requiera el manejo de datos sensibles. Solo debemos esperar que en los próximos días se solucione el problema.

Leer más: The Hacker News

RFC HeartBleed

Tags: , ,


About the Author

Systems Engineering, Computer Systems Specialist, Social Engineering Specialist. Social Media Analyzer. Usability and SEO enthusiasm (Este es mi perfil de Twitter...)



Comments are closed.

Back to Top ↑