viernes, 11 de abril de 2014

El Bug de Heartbleed y el mayor caos en Internet

La noticia que apareció el miércoles 9 de abril, impactó a todo el mundo, y más a las personas metidas en seguridad como  es mi caso. El caso es que leyendo más en profundidad el bug de Heartbleed me pude enterar un poco mejor de lo sucedido.

El problema

El problema está en que este bug afecta al "sistema respiratorio" de SSL, por dónde circulan entre otros las contraseñas de nuestras redes sociales, nuestro banco, etc. Es un fallo en el sistema de autenticación de los miles de protocolos que se usan en Internet como pueden ser HTTPs, HTTP, FTPs, etc. Y son muchos los sitios que usan OpenSSL-el sitio que ha caído con este bug al que estoy haciendo referencia-más en concreto son más de 5 millones de sitios -según Shodan- los que usan el OpenSSL 

Las Sorpresas

Esta noticia que nos sorprendió a todos -entre otros a mí que pensaba hablar de ello pero ya había subido otro post- porque entre otros, lo que se pensaba que era bastante seguro para usar Internet -siempre que no tuviera un filtro PPTP ni una contraseña diccionaria- como era una VPN.

El Bug

El bug está en que se envía un determinado mensaje a través de la red con un payload. Entonces el servidor va a copiar dicho mensaje y va crear su respectiva respuesta a modo del famoso ECHO -que os sonarán a los que programéis sobre todo PHP y Java- como se hacen en muchos protocolos.



A pegar tiros

Cuando se crea un exploit para un sistema operativo, siempre hay que conseguir un Information Leak para saber a qué dirección va la memoria, con el que lo único que se necesita es "pegar un tiro" y "otro tiro" en plan película del lejano oeste.

Además no he comentado que lo que puede acabar en un servidor es TODO. como claves cuentas de usuario,certificados digitales,etc. Hasta el último bit del código del servidor.Por eso mirad si tenéis algo con OpenSSL como VPN y otros como los que hablan en Seguridad Apple del SSTP

¿Qué hacer ahora?

Ahora el único consejo que os puedo dar-debido a lo que sé de seguridad Informática- es que cambiéis todas vuestras contraseñas, todos los certificados digitales haciendo el Certificate Pinning, si tienes un servicio con HTTP, lo mejor será asumir que todas o casi todas vuestras credenciales han caído en manos de "personas malas", y no de hackers y cambiar todo.

Todo esto es lo que yo entre ayer y hoy llevo haciendo sin parar, sé que es laborioso pero no queda otra ya que después de lo ocurrido es la mejor opción, para ello mejor hacer uso de KeePass o si no, sí que va a ser una tarea de lo más engorrosa y difícil.

Saludos Malvados!

No hay comentarios:

Publicar un comentario

Related Posts Plugin for WordPress, Blogger...

Entrada destacada

El server me sabe a poco.

Soy un fanático del Rock y de Debian . (Creo que voy a inventar Rockbian, que suena bien y todo xD) Llevaba tiempo queriendo unir estos 2 c...