El gran agujero de seguridad de openSSL

Por Soloelectronicos @soloelectronico

Esta semana ha sido sin duda muy complicada  a   causa  del  ‘The Heartbleed Bug’ (el agujero del corazón desangrado) que afecta a casi todo lo que viaja cifrado en Internet: accesos seguros a webs para comprar o hacer gestiones con la administración, contraseñas y números de tarjeta de crédito almacenados en grandes y pequeños negocios de la red, correo electrónico y mensajería en línea con conexiones securizadas, “cookies” que almacenen información confidencial, redes privadas virtuales.

Todo es susceptible de ser descifrado por un hipotético atacante que, para colmo, no dejará ningún rastro en los ordenadores atacados. Es el fallo informático del año, quizás de la década, y muy posiblemente tardará en ser solucionado, pues afecta a millones de servidores.

El Proyecto OpenSSL hizo público el lunes un comunicado que metafóricamente paró el corazón a muchos administradores de sistemas: avisaba de un grave fallo en las versiones 1.0.1 y 1.0.1f de OpenSSL, un paquete de herramientas y bibliotecas que utilizan dos terceras partes de los servidores de Internet, para cifrar sus comunicaciones y contenidos.

El agujero está en el código de OpenSSL desde diciembre de 2011. Neel Mehta, del equipo de seguridad de Google, lo habría descubierto en diciembre de 2013, fecha de la inclusión del “bug” en la base de datos ‘Common Vulnerabilities and Exposures’ ( se considera lógico que se hayan tardado tres meses en anunciar al mundo el descubrimiento de Mehta, “para dar tiempo a los sistemas operativos y principales servicios afectados a crear los correspondientes parches)

El ‘Heartbleed Bug’ reside en una extensión del protocolo Transport Layer Security (TLS) de OpenSSL llamada ‘Heartbeat’ (latido de corazón). Un atacante puede interrogarla repetidamente y esta respondería mandándole las claves privadas con las que el sitio cifra su información y comunicaciones. Curiosamente, a finales de febrero se descubrió un problema parecido en el protocolo TLS de Apple, que afectaba a la validación de sus certificados. Y una semana después caía GNU TLS, otro sistema seguro para código libre.

Pero ninguno es tan usado como OpenSSL la tecnología de cifrado usado por alrededor de 500.000 webs (según NetCraft) incluida la banca  . Los expertos en seguridad no dudan en avisar de la seriedad de este agujero: “Estamos ante una de las vulnerabilidades más graves (opinión personal) de los últimos años. Y no sólo vulnerabilidad, la explotación tiene efectos que sinceramente, tras verlos, asustan”, afirma José A. Guasch en el blog ‘Security by Default’. Paradójicamente, el fallo se ha descubierto en un producto destinado a dar seguridad a las comunicaciones y contenidos, lo que hace más grave el problema.
Los datos se exponen a medida que fluyen los datos entre los equipos de los usuarios y los servidores empresariales, sin conocimiento de ambos. El error afecta a la información sensible que el SSL está protegiend permitiedo a los hackers el acceso a los códigos encriptados y su descodificación, dejando al descubierto información personal utilizada para transacciones en linea (como al realizar compras online o incluir datos confidenciales en una página web que avisa que la información está protegida).o.

Compañías como Yahoo ya han comunicado que se han visto afectadas, y esta última recomienda a los usuarios deTumblr actualizar sus contraseñas lo antes posible. “En una escala de peligro para la seguridad del 1 al 10, Heartbleed es un 11″, ha explicado el experto en seguridad Bruce Schneier. Otras compañías como Facebook, Google y Microsoft están estudiando el problema.

En la página oficial del ‘bug’ no dejan de repetir que es algo “muy serio” y que cualquiera puede verse afectado directa o indirectamente: “OpenSSL es la libería criptográfica de código abierto más popular y la más usada para cifrar el tráfico de Internet ya que la mayoría de servicios en línea lo usan para identificarse ante usted y proteger su privacidad y transacciones. Posiblemente e haya conectado a aparatos con sistemas de acceso securizados mediante este sistema. O incluso puede tener programas en su ordenador que pueden exponer sus datos si se conecta a servicios comprometidos”.

Los responsables del Proyecto OpenSSL son un pequeño equipo de programadores voluntarios. El criptógrafo Matthew Green avisa en su blog que las iras no deben caer sobre ellos, pues “mantienen la librería de comunicaciones cifradas más importante del mundo, es un trabajo duro y no remunerado que implica coger el código que aportan otras personas, como en el caso de Heartbeat, y revisarlo de la mejor forma posible”. Green asegura: “Quizás, mientras estén parcheando su servidores, algunas de esas grandes compañías que usan OpenSSL pensarán en mandarles algo de financiación sin condiciones, para que puedan seguir haciendo su trabajo”.

¿Y  QUE SE PUEDE HACER?

La recomendacion ahora mismo sería no entrar en los sitios web de banca online, comprobar con el sitio ese que indican si nuestros bancos están en la lista, y dentro de un tiempo, que hayan podido parchear, entrar y cambiar contraseñas.

Para protegerse de estos problemas, TrendMicro recomienda que el usuario se asegure de que está ejecutando el software de seguridad actualizado en todos sus sistemas, cambia las contraseñas en la cuentas de alto valor como su cuenta de correo web o cuentas bancarias online y de manera inmediata en aquellas que recomendaron hacerlo (es importante que primero esos proveedores hayan parcheado el problema), y estar atento a cualquier actividad sospechosa de cualquier tipo (tanto en cuentas online como en cuentas bancarias).

Aunque no es seguro,recomendada por  la Asociación de Usuarios de Bancos, Cajas y Seguros (ADICAE), hay una forma para averiguar si los sitios que usted visita están o no a salvo chequeando la salud de esos servidores.,gracias  al analista que detecto esta vulnerabilidad Filippo Valsorda, consultor especializado en criptografía y seguridad ,qeu ha puesto libremente una herramienta  que permite analizar la vulberabilidad de  los sitios que visitamos  http://filippo.io/Heartbleed/#wordpress.com

Independientemente del origen del agujero de seguridad, la recomendación es que al cabo de unos días, cuando los parches estén instalados, cambien sus contraseñas especialmente las relacionadas con la banca.

Fuente aqui