Llegamos a ustedes gracias a:



Alertas de Seguridad

Una grave falla en OpenSSL (Actualizado)

Genera que aparezca 'Heartbleed'

[10/04/2014] La información sobre la falla de seguridad de webs soportadas por SSL que ha dejado al descubierto información confidencial, se ha extendido por los medios de comunicación. Pero ante la confusión, algunas aclaraciones básicas.
Heartbleed es el nuevo problema de seguridad que ha salido a la luz y ha causado confusión entre los usuarios. Una grave falla en OpenSSL, la tecnología de cifrado usada por alrededor de 500 mil webs (según NetCraft), podría haber permitido a los hackers el acceso a los códigos encriptados y su descodificación, dejando al descubierto información personal utilizada para transacciones en línea (como al realizar compras online o incluir datos confidenciales en una página web que avisa que la información está protegida).
De acuerdo a Joaquín Rodríguez Varela de Eset, la vulnerabilidad permite que, de forma remota, un atacante pueda leer 64 KB de información en la memoria del servicio vulnerable, pudiendo tener acceso a cualquier información crítica allí alojada, como ser credenciales del sistema, tokens, certificados, etc. A su vez, si un usuario accede a un sitio vulnerable y un atacante se encuentra dentro de la misma red, este podría realizar un ataque llamado Man In The Middle (MITM). Así, podría leer información confidencial como credenciales o Cookies de sesión que le permitirían suplantar al usuario dentro de dicho sitio, señaló el ejecutivo.
Los datos se exponen a medida que fluyen los datos entre los equipos de los usuarios y los servidores empresariales, sin conocimiento de ambos. El error afecta a la información sensible que el SSL está protegiendo.
Compañías como Yahoo ya han comunicado que se han visto afectadas, y esta última recomienda a los usuarios de Tumblr actualizar sus contraseñas lo antes posible. "En una escala de peligro para la seguridad del 1 al 10, Heartbleed es un 11", ha explicado el experto en seguridad Bruce Schneier. Otras compañías como Facebook, Google y Microsoft están estudiando el problema.
Rodríguez señala también que han sido afectados servicios como el correo de Yahoo, el banco de imágenes Flickr, Imgur, Eventbrite y la web de citas OkCupid. Otro afectado fue el gestor de contraseñas LastPass, aunque desde el servicio afirmaron que las múltiples capas de encriptación que ofrecen mantienen a salvo a sus usuarios, indicó, agregando que en este link se puede encontrar una lista completa de los dominios conocidos que han quedado al descubierto en algún momento. Algunos de ellos ya son seguros otra vez, pero es complicado determinar el alcance de la fuga de información en cada caso, comentó el ejecutivo.
Para protegerse de estos problemas, TrendMicro recomienda que el usuario se asegure de que está ejecutando el software de seguridad actualizado en todos sus sistemas, cambie las contraseñas en la cuentas de alto valor como su cuenta de correo web o cuentas bancarias online, y de manera inmediata en aquellas que recomendaron hacerlo (es importante que primero esos proveedores hayan parcheado el problema), y estar atento a cualquier actividad sospechosa de cualquier tipo (tanto en cuentas online como en cuentas bancarias).
Por su parte, Eset también recomienda que los usuarios de cualquiera de los sitios vulnerados por Heartbleed validen que el problema haya sido solucionado dentro de los mismos, y luego cambien las credenciales de acceso, solo de manera preventiva.
Además, hay un sitio en el cual se puede verificar si una página web es actualmente vulnerable a este ataque. Si bien el resultado no es 100% certero por la existencia de falsos positivos y falsos negativos, se podrá realizar un testeo rápido y sencillo, señaló Rodriguez.
Recomienda, asimismo, que en caso de que se gestione un sitio que utilice OpenSSL para cifrar las comunicaciones, se recomienda en primer lugar validar si su versión es vulnerable:
* OpenSSL 1.0.1 a 1.0.1f (inclusive) son vulnerables
* OpenSSL 1.0.1g NO es vulnerable (última versión estable)
* OpenSSL 1.0.0 NO es vulnerable
* OpenSSL 0.9.8 NO es vulnerable
Si se está utilizando una versión vulnerable se la deberá actualizar, preferentemente a la versión 1.0.1g, y cambiar las credenciales y certificados del sitio. Se recomienda también informar a los usuarios o clientes, en caso de existir, que es recomendable que cambien sus credenciales solo por prevención.
CIO, Perú