lunes, 14 de abril de 2014

[El Mundo] 'Un grave fallo amenaza las comunicaciones seguras en Internet' [Fallo de OpenSSL 1.0.1 que puede permitir robar claves privadas de certificados de sitios web]

'Lo han bautizado 'The Heartbleed Bug' (el agujero del corazón desangrado) y afecta a casi todo lo que viaja cifrado en Internet: ' [...]

'El Proyecto OpenSSL hizo público el lunes un comunicado que metafóricamente paró el corazón a muchos administradores de sistemas: avisaba de un grave fallo en las versiones 1.0.1 y 1.0.1f de OpenSSL, un paquete de herramientas y bibliotecas que utilizan dos terceras partes de los servidores de Internet, para cifrar sus comunicaciones y contenidos.

El agujero está en el código de OpenSSL desde diciembre de 2011. Neel Mehta, del equipo de seguridad de Google, lo habría descubierto en diciembre de 2013, fecha de la inclusión del "bug" en la base de datos 'Common Vulnerabilities and Exposures'.'


'El 'Heartbleed Bug' reside en una extensión del protocolo Transport Layer Security (TLS) de OpenSSL llamada 'Heartbeat' (latido de corazón). Un atacante puede interrogarla repetidamente y esta respondería mandándole las claves privadas con las que el sitio cifra su información y comunicaciones.'


' La solución a este monumental lío es complicada, pues no sirve sólo instalar una nueva versión de OpenSSL sin el fallo. Al ser un ataque que no deja rastro, nadie sabe de forma fehaciente si su sitio ha sido comprometido. Aunque actualice su OpenSSL, sus claves, contraseñas y certificados pueden estar en manos de atacantes que las seguirían usando impunemente. Así que toca revocar claves, cambiar contraseñas y crear nuevos certificados.' [si se disponía de una de las versiones con el el fallo: 1.0.1, 1.01a - 1.0.1f, 1.0.2-beta y 1.0.2-beta1]

Fuente y noticia completa: El Mundo 10/04/2014
Resaltado en negrita nuestro

[N.E. la vulnerabilidad del código ha sido resuelta en la versión de OpenSSL 1.0.1g]

[Información de la vulnerabilidad en Security Focus]




[ADDENDUM] [infoBAE] 'Qué contraseñas debes cambiar para evitar Heartbleed'

' Fue descubierto el pasado lunes por expertos en seguridad de Google y por un equipo de la firma especializada Codenomicon.

Según la página creada para explicar el incidente informático, Heartbleed.com, el error ponía al alcance de cualquier "hacker" el acceso a unidades de información privada y protegida.

Algunos de los sitios afectados introdujeron en las últimas horas un parche que inhibe su acción. Pero para estar a salvo es necesario cambiar las contraseñas, que ya pueden haber sido robadas.

Como el estallido de esta brecha en la seguridad fue muy reciente, aún no se sabe con exactitud qué páginas y aplicaciones han sido vulneradas.
Entre las más utilizadas, según Mashable, está comprobado que Google, Yahoo!, Tumblr y Dropbox quedaron expuestos. En todos esos casos, la recomendación es cambiar la clave inmediatamente.

No está claro si se produjo una filtración con Facebook, pero los expertos aconsejan modificar la contraseña de todos modos. Ante la duda, la red social instaló un parche.

Aún se desconoce si Twitter, Apple, eBay y Netflix fueron vulnerados, y las compañías no han dado instrucciones a sus usuarios.
Hotmail, LinkedIn, Amazon, PayPal y AOL quedaron a salvo, de modo que no hay necesidad de cambiar nada.

La contraseña debe ser modificada tanto en el smartphone como en la tableta. Para saber si algún sitio posee problemas, ingresa aqui'
 
Fuente y noticia completa: infoBAE 10/04/2014
 

No hay comentarios: