El bug “heatbleed” de OpenSSL ha causado gran preocupación y revuelo. Si estás interesado en saber con detalle cómo funciona, puedes visitar esta página pero en resumen es:
– Un ciberdelincuente realiza una conexión cifrada (TLS) con tu servidor.
– El ciberdelincuente realiza lo que denominamos una petición heartbleed, en vez de mandar datos reales, para que el servidor mantenga la conexión.
– EL ciberdelincuente solo envía unos pocos bytes, pero pide que le envíes 65535 bytes. El sistema heartbeat supone que funciona copiando los datos de la petición entrante en un paquete de respuesta, y enviarlo de vuelta para comprobar que la conexión es correcta.
Pero la problemática versión de OpenSSL funciona de la siguiente manera.
– Copia 65535 bytes en la respuesta, comenzando con la información recibida, pero rellenándolo hasta completar el paquete.
– Envía el paquete con 65535 bytes, que incluyen los datos originales más toda la información cercana en la RAM del servidor.
A esto se llama overflow, pero no es del tipo que estamos acostumbrados. En vez de enviar demasiados datos para producir un error y ejecutar nuestro código, enviamos menos datos para que el servidor los complete con información propia.
Y desde que se ha hecho público, se han realizado multitud de pruebas testando que tipo de información podemos obtener. Como te puedes imaginar la mayoría no tiene interés ninguno, pero si continúas probando puede que surja algo interesante como nombres de usuario, contraseñas, códigos de cifrado, etc.
Así que aunque tus contraseñas probablemente no se han visto afectadas por este bug, el probablemente significa que no te ha tocado, como no te ha tocado la lotería, de igual manera que a alguien si le ha tocado.
Por esto, muchos gurús recomiendan que las cambies. Es lo mismo que harías si pasas tu tarjeta de crédito por algún dispositivo que crees que pueda tener comprometida su seguridad. La cancelarías inmediatamente y le pedirías una nueva tarjeta al banco.
En principio parece claro que es una buena idea cambiar mis contraseñas, pero existe una razón que nos hace dudar de la eficacia de esta medida. Si tienes que cambiar la contraseña porque el servido está en riesgo de heartbleed, entonces puede que tu nueva contraseña corra el mismo peligro. De hecho, ahora hay mucha más gente escuchando este tipo de vulnerabilidad por lo que mejor es que esperemos a que nos confirmen que han testado el servidor no han detectado ningún problema. Entonces cambiar nuestras contraseñas será una buena medida.
Para manteneros al día de las últimas amenazas haceros fans de nuestra página de Facebook o síguenos en Twitter para intercambiar experiencias en torno al mundo de la seguridad. Si deseas recibir nuestro boletín semanal de seguridad en tu correo electrónico, suscríbete en la siguiente aplicación:
Dejar un comentario