miércoles, 16 de abril de 2014

[INTECO] 'Heartbleed ¿desmitificado?'

'Uf! Qué días llevamos los que trabajamos en seguridad con el fallo hecho público el 7 de Abril en las librerías OpenSSL.'


'Los últimos días, incluso algunos mensajes empiezan a rectificar y corregir que quien en principio se pensaba que estaba afectado, en realidad no lo estaba  (se abre en nueva ventana). Y por supuesto… aparecen varias listas  (se abre en nueva ventana) de sitios afectados.

En INTECO tratando como siempre de cumplir nuestra labor de informar acerca las amenazas presentes en la red, también hemos seguido de cerca la información sobre ésta que, dada la importancia del fallo, exigía una especial atención y esfuerzo. De hecho publicamos dos avisos de seguridad relacionados con el mismo:
A nivel de investigación, parecía imprescindible conocer más sobre el fallo, probar en el laboratorio a extraer de la memoria esos datos “jugosos”, aunque tan solo se tratara de una porción pequeña y aleatoria de la misma (64kb).
Así, en las pruebas que hemos hecho nos hemos encontrado que en realidad muchos servicios en Internet e Intranets realmente no están afectados.
Uno de los motivos es que productos de la familia Microsoft no son vulnerables  (se abre en nueva ventana) ya que utilizan sus propias librerías de SSL. Y no sólo eso, si no que muchos sistemas utilizan versiones de la librería OpenSSL anteriores y, por tanto, no adolecen del fallo  (se abre en nueva ventana) identificado.
A nivel estadístico, y gracias a la colaboración con Red.es  (se abre en nueva ventana) en materia de seguridad de dominios .es, el análisis realizado sí permite aportar algunos datos (bastante alejados de los dos tercios de dominios  (se abre en nueva ventana)):
  • De los dominios .es activos a fecha de 16 de Marzo sólo el 0,42% utilizaban librerías OpenSSL potencialmente vulnerables
  • A nivel de direcciones Web (<dominio>.es, o www.<dominio>.es, y las redirecciones existentes de dominios .es) los porcentajes de servicios potencialmente vulnerables bajo dichos dominios son:
 
Esta sería la información puramente estadística obtenida a partir de las versiones utilizadas en los servicios. Si bien, es posible que alguna de estas webs utilice igualmente una versión de OpenSSL vulnerable aunque el banner del servicio no muestre directamente dicha información.Conscientes de esa limitación, los datos reales de sitios afectados serían los siguientes:

'
Fuente y noticia completa: INTECO 15/04/2014
Imágenes: idem


Entradas relacionadas:

No hay comentarios: