Menú de navegaciónMenú
Categorías

La mejor forma de Aprender Programación online y en español www.campusmvp.es

?id=17165ea0-fe64-4903-abf0-9337ab1e142d

Heartbleed: el fallo de seguridad en Internet más grave en mucho tiempo

Heartbleed_Vulnerabilidad_Seguridad

Últimamente Internet no gana para sustos. Y es que en los últimos tiempos se han descubierto diversas vulnerabilidades con gran impacto en todos los usuarios. Por ejemplo “Goto fail” de Apple, un fallo enorme en su implementación de SSL que abría la puerta a los atacantes a interceptar comunicaciones seguras, el fallo de GnuTSL, o más recientemente el de la nube para Java de Oracle.

Sin embargo todo esto palidece ante el gran impacto del fallo de seguridad descubierto hace dos días en la implementación actual de la biblioteca Open Source de seguridad OpenSSL. Su relevancia se deriva de lo grande que es el bug, y de lo extendida que está en Internet esta biblioteca de código abierto. Se estima que 2 de cada 3 servidores conectados a Internet hacen uso de OpenSSL y están afectados.

Si estás utilizando un servidor web Apache o Nginx, casi seguro que estás afectado.

Internet Information Server (IIS) no está afectado.

Hasta el momento se sabe que ha afectado a Yahoo, Dropbox, Stackoverflow, Amazon Web Services, Flickr, Zoho o Heroku y muchas empresas más. Aquí tienes una lista con las 1000 webs más importantes comprobando si están afectadas o no. Mashable ha publicado unas interesantes tablas resumen con el estado de los servicios más importantes. Si tienes cuenta en alguna de ellas, cambia tu contraseña cuanto antes.

El bug lo ha descubierto Neel Mehta, un investigador de Google. El fallo permite a un atacante extraer aleatoriamente fragmentos de 64KB de la memoria de cualquier servidor afectado. Aunque pueda parecer poca cosa, el problema reside en que las claves de encriptación privadas del servidor están siempre en memoria y su aspecto es fácil de reconocer, por lo que a base de repetir una y otra vez el ataque es relativamente fácil encontrarlas. Además se puede leer otra mucha información guardada en claro en la memoria del servidor, por lo que el tipo de información que se puede extraer es potencialmente ilimitado.

El siguiente vídeo explica técnicamente el problema descubierto y el funcionamiento de un ataque:

Al parecer Apple, Microsoft y Google no están afectados, ni tampoco la mayor parte de los grandes bancos (que usan sus propios sistemas también).

Si te preocupa saber si un determinado servicio está afectado, el programador Filippo Valsorda ha creado un sitio web que te permite comprobar cualquier servidor escribiendo su dirección.

Ninguno de los servicios de Krasis o campusMVP está afectado tampoco, así que si eres un alumno de campusMVP o un cliente de nuestra plataforma de e-learning, no tienes de qué preocuparte.

Todavía es pronto para saber el impacto real del bug en la totalidad de Internet ya que muchos administradores tardarán en parchear los servidores y pueden pasar semanas o meses antes de que esté solucionado.

En esta dirección puedes encontrar información detallada sobre el bug, su impacto, contramedidas y todo tipo de preguntas frecuentes actualizadas para estar informados.

Esta pregunta en Quora tiene explicaciones interesantes y fáciles de comprender sobre el motivo del bug y por qué es tan fácil explotarlo (moraleja: ¡verifica siempre todo lo que llegue de los usuarios!)

Fecha de publicación:
campusMVP campusMVP es la mejor forma de aprender a programar online y en español. En nuestros cursos solamente encontrarás contenidos propios de alta calidad (teoría+vídeos+prácticas) creados y tutelados por los principales expertos del sector. Nosotros vamos mucho más allá de una simple colección de vídeos colgados en Internet porque nuestro principal objetivo es que tú aprendas. Ver todos los posts de campusMVP
Archivado en: General

¿Te ha gustado este post?
Pues espera a ver nuestra newsletter...

Suscríbete a la newsletter

La mejor formación online para desarrolladores como tú

Comentarios (1) -

Tampoco pierdas de vista a esa vulnerabilidad que se acaba de descubrir:

The Drown Attack: https://drownattack.com/

Responder

Agregar comentario

Los datos anteriores se utilizarán exclusivamente para permitirte hacer el comentario y, si lo seleccionas, notificarte de nuevos comentarios en este artículo, pero no se procesarán ni se utilizarán para ningún otro propósito. Lee nuestra política de privacidad.