Historias
Slashboxes
Comentarios
 

Heartbleed, un enorme fallo de seguridad

editada por nettizen el 09 de Abril 2014, 09:50h   Printer-friendly   Email story
Un pobrecito hablador nos cuenta: «Un enorme fallo de seguridad que permite penetrar en ordenadores para recuperar código y contraseñas ha sido descubierto por un informático de Google y afecta a OpenSSL, usado por la mitad de los sitios web del mundo; o por casi dos de cada tres servidores según The Verge. En FoxIT comentan que este fallo está presente desde hace dos años y permite recuperar información de los servidores de diferentes formas. FoxIT da algunos procedimientos para contrarrestar los ataques. Más información en HeartBleed.com/. Según The New York Times se podrían haber recuperado ya contraseñas de Yahoo! y Tumblr empleando esta vulnerabilidad. Puedes probar la seguridad de tu sitio web en http://filippo.io/Heartbleed/. ¿Y tú, estabas de vacaciones estos últimos dos años en lugar de revisar el código de OpenSSL y avisarnos del fallo?»

Historias relacionadas

[+] Software Libre: La Linux Foundation financiará el desarrollo de OpenSSL 38 comentarios
Un pobrecito hablador nos cuenta: «Tras el enorme fallo de seguridad que supuso Heartbleed, (listado de sitios afectados), se puso de manifiesto que la gestión del proyecto no se estaba realizando de la manera correcta. ¿Cuáles han sido las soluciones?. El proyecto OpenBSD afirma que el problema es la incompetencia manifiesta de los programadores de OpenSSL, y por ello sólo hay una solución: crear un fork y limpiar el código creando LibreSSL. La Linux Foundation cree que es un problema de financiación, y por ello acaba de anunciar la creación de la Core Infrastructure Initiative (CII) junto con una docena de las mayores compañías tecnológicas del mundo: Amazon, Cisco, Dell, Facebook, Fujitsu, Google, IBM, Intel, Microsoft, NetApp, Rackspace y VMware. Cada compañía donará a la Linux Foundation un mínimo de 100.000 dólares al año, durante un mínimo de tres años. También se admiten pequeñas donaciones de particulares vía PayPal. La intención del proyecto es dar apoyo económico a proyectos Open Source que se hayan convertido en elementos críticos de la infraestructura global de telecomunicaciones. Y el primer proyecto beneficiado será OpenSSL. La Linux Foundation presenta su iniciativa como algo similar al papel que tienen ahora pagando a Linus Torvalds para que pueda dedicarse de manera plena al desarrollo del Kernel. Tras la publicación del fallo de Heartbleed, el proyecto OpenSSL se defendió alegando que con su nivel actual de recursos económicos sólo podían mantener a un programador a tiempo completo. Pocos días después, las donaciones de particulares al proyecto OpenSSL aumentaron. Mentes nuevas o más dinero, ¿cuál será la solución más efectiva? Más opiniones en Reddit.
[+] BoringSSL: Google crea su propio fork de OpenSSL 23 comentarios
Un pobrecito hablador nos cuenta: «El culebrón de OpenSSL no termina. Tras la hecatombe de
Heartbleed, la inyección de dinero de la Linux Foundation y el fork LibreSSL, Google anuncia (por boca de uno de sus desarrolladores) la creación de su propio fork de OpenSSL, que pasará a denominarse BoringSSL. Google justifica su decisión en que el enorme número de parches (más de 70 en la actualidad) que necesitan para ajustar OpenSSL a sus necesidades en Android y Chrome hace que les resulte más fácil mantener un fork propio (sobre el que prometen que integrarán las mejoras que surjan tanto en OpenSSL como en LibreSSL) que rehacer y aplicar sus parches cada vez que se publica una nueva versión de OpenSSL. BoringSSL se licenciará bajo licencia ISC.»
[+] Software Libre: Ya disponible la primera versión portable de LibreSSL 20 comentarios
Un pobrecito hablador nos cuenta: «Se ha anunciado en la lista de correo de LibreSSL la noticia de la primera versión pública, estable y portable de este fork de OpenSSL surgido tras el fallo de seguridad conocido como Heartbleed. De momento ha sido probado en Linux (no especifican distros), Solaris, Mac OSX y FreeBSD, aunque quieren ampliar el soporte de plataformas cuando el tiempo y los recursos lo permitan. Recuerdan que las donaciones a tal efecto siempre son recibidas. Como curiosidad, la web del proyecto sigue usando Comic Sans. Y texto parpadeante.» Actualización (m21): Como bien apunta poblecito hablador es la primera versión portable: fue desarrollado para OpenBSD por sus propios desarrolladores y ahora se presenta la versión que soporta otros sistemas operativos.
Este hilo ha sido archivado. No pueden publicarse nuevos comentarios.
Mostrar opciones Umbral:
Y recuerda: Los comentarios que siguen pertenecen a las personas que los han enviado. No somos responsables de los mismos.
  • Que no cunda el panico

    (Puntos:2, Informativo)
    por pobrecito hablador el Miércoles, 09 Abril de 2014, 11:23h (#1358343)
    No lanzarse como piden algunos a cambiar usuario y contraseña de sitios que empleas habitualmente usando SSL (banca, webmail, etc). Si lo haces ahora en un sitio vulnerable es precisamente cuando te pueden robar los datos. Verificar primero si el sitio es vulnerable o no.

    No lanzarse a actualizar OpenSSL sin sentido por que si, cuidado con los apt-get upgrade en sistemas antiguos.

    El bug afecta a unas versiones muy concretas de OpenSSL

    OpenSSL 1.0.1g NO vulnerable
    OpenSSL 1.0.1 through 1.0.1f es vulnerable
    OpenSSL 1.0.0 branch NO vulnerable
    OpenSSL 0.9.8 branch NO vulnerable

    En según que sistemas actualizar puede suponer que pasas de ser no vulnerable a ser vulnerable si en los repositorios no han actualizado el paquete de openssl. Ejemplo en ubuntu sin LTS que ya no tengan soporte.

    Si eres vulnerable y actualizas al paquete correcto, no se te olvide reiniciar el servicio de Apache.
  • La noticia en la tele

    (Puntos:3, Divertido)
    por xOneca (38185) el Miércoles, 09 Abril de 2014, 13:44h (#1358361)
    ( http://127.1/ )
    Qué gracia me ha hecho ver cómo lo explicaban en la tele. Un ejemplo de Antena3 [antena3.com]:

    Descubren el bug Heartbleed, el mayor fallo de seguridad en Internet

    Un error en la tecnología de encriptación web ha puesto en peligro la seguridad de datos confidenciales y sensibles debido al bug Heartbleed, que los expertos han calificado como el mayor fallo de seguridad descubierto en los últimos años.

    (...) El bug Heartbleed ha posibilitado a los 'hackers' traspasar la codificación sin dejar huella, y acceder a datos protegidos.

    ¿Qué nota les damos? ¿Por lo menos lo han intentado?
    --
    Esto es Barrapunto: vale todo menos quedarse mudo.
  • por Grohl (16098) el Miércoles, 09 Abril de 2014, 15:01h (#1358377)
    ( http://barrapunto.com/~Grohl/bitacora | Última bitácora: Lunes, 09 Marzo de 2015, 09:07h )
    En la lista de Tomcat estan hablando sobre este tema.

    Dejo algunas cosas que he recopilado, para aprender:

    This is OpenSSL 1.0.1--1.0.1f vulnerabilty, so any protocol using OpenSSL implementation of TLS/SSL protocol (if OpenSSL libarary version is in mentioned range) is vulnerable, like: STARTTLS extension for protocols like SMTP, POP, IMAP, XMPP, FTP, LDAP, NNTP, and also other protocols which uss TLS/SSL like SSL VPN, and HTTPS.

    SSH protocol does not use TSL/SSL, so it is not vulnerable to Heartbleed bug.

    That dependins of the definition of "what OpenSSL touches". OpenSSL consists of two libraries: libcrypto and libtls. OpenSSH implementation depends on OpenSSL package, but only to utilize primitive crypro functions from libcrypto library. Libtls library contains implementation of TLS protocol, including Heartbeat functionality, but OpenSSH does not utilize that library, AFAIK. Therefore, I stand by my earlier position -- no need to rekey SSH keys.

    Question:

    (Checked http://filippo.io/Heartbleed [filippo.io] before and after) I built APR
    and Tomcat Native from source on the server, so I assume it's doing
    dynamic library loading.
    Is the binary build staticly linked? Otherwise, I'm not sure it's necessary to redo the builds.


    The ASF only provides binaries for win32, and yes, they are
    statically-linked. Users without the expertise to build their own
    tcnative binary will have to wait for the tcnative team to roll a new
    release.

    Question:

    I tested with Tomcat 8.0.5 with tcnative 1.1.29, which includes OpenSSL 1.0.1e, on Windows 7 64-bit, and it confirms the vulnerability.
    JSSE Connectors are not vulnerables so, one possible workaround is
    to swich to NIO or BIO connector until patched version of tcnative is available.


    No. Switching to JSSE only stops the hemorrhaging. You should consider all
    your server keys compromised if OpenSSL 1.0.1 was used (prior to "g"
    patch level). If you switch to JSSE, your key may already have been
    compromised, so the switch does not protect you.

    If you were lucky enough to have been ignored by Internet miscreants,
    then switching will protect you, but it's a bad bet. The better bet is
    to upgrade ASAP to a 1.0.1g version of OpenSSL and then re-key everything.

    Then change all your passwords.
    --
    "En teoría no hay diferencia entre teoría y práctica. En la práctica, sí la hay."
  • CentOS

    (Puntos:2)
    por Grohl (16098) el Miércoles, 09 Abril de 2014, 15:29h (#1358378)
    ( http://barrapunto.com/~Grohl/bitacora | Última bitácora: Lunes, 09 Marzo de 2015, 09:07h )


    All versions of CentOS 5 and CentOS 6 are not vulnerable to this problem except CentOS 6.5. CentOS 6.5 introduced this problem when openssl was rebased from 1.0.0 to 1.0.1e. Fixed packages containing a backported patch were released overnight 2014/04/08 and should have replicated to all CentOS mirrors by now.

    https://www.centos.org/forums/viewtopic.php?f=14&t =45827&sid=755e318e6db8e8a5ad68085c28f00106 [centos.org]
    --
    "En teoría no hay diferencia entre teoría y práctica. En la práctica, sí la hay."
  • por juanjoapertus (31429) el Jueves, 10 Abril de 2014, 01:00h (#1358419)
    ( http://www.apertus.es/ | Última bitácora: Martes, 10 Abril de 2018, 18:44h )
    Os juro que cuando vi la pagina me sorprendió por que pensé... que raro.. normalmente los fallos de seguridad los enlazan a un anuncio de cualquier distribuidor grande en vez de crear una pagina exclusivamente para un error de seguridad. Parece ser que Microsoft anda detrás, el mismo día que Windows XP termina su soporte. http://techrights.org/2014/04/08/howard-schmidt-co denomicon/ [techrights.org]
  • por agtejeo (12860) el Jueves, 10 Abril de 2014, 06:45h (#1358423)
    ( http://agtejeo.wordpress.com/ | Última bitácora: Jueves, 16 Marzo de 2017, 20:43h )
    ...servicios web hasta para ir a cagar. Joder, ¿dónde quedó el cliente ssh+ncurses? (hablo de entornos corporativos).

    Saludos.
    --
    Mi web personal es un aburrido blog de un sociata desencantado
  • jejejeje!!!

    (Puntos:2)
    por juangarcia (44858) el Jueves, 10 Abril de 2014, 09:53h (#1358447)
    Jejeje! Los de "Debian Squeeze" nos libramos...

    Saludos.
  • Re:Millones de ojos

    (Puntos:2)
    por sinman (586) <sinman@terra.es> el Miércoles, 09 Abril de 2014, 12:41h (#1358353)
    ( http://www.traperware.com/ )
    Claro, eso no pasa en otras casas [barrapunto.com]...
    [ Padre ]
  • Re:Millones de ojos

    (Puntos:1, Inspirado)
    por pobrecito hablador el Miércoles, 09 Abril de 2014, 13:50h (#1358363)
    No veo yo qué derrotas son esas que mencionas, ya que como muy bien explica el artículo, 2 de cada tres servidores del planeta Tierra utilizan software libre para sus conexiones: OpenSSL.

    O sea: sí, la victoria del software libre en el uso de según qué tecnologías es increíblemente aplastante, más que el uso de Windows XP en ordenadores de escrotario. Que tiene bugs, pues vale. Que el código está escrito por frikis, vale también. Que se cuelan fallos que como no pagan a nadie para revisarlos están ahí 10 añazos, pues bueno. La cuestión es que no hay alternativa fiable e igual de económica (o sea: que cueste cero euros) a software como OpenSSL.

    Así que cuando quieras te pones a corregir bugs, que es gratis. O igual es que no sabrías ni por dónde empezar a hacerlo, porque seguro que eres uno de esos que quejarse mucho, pero escribir código poco. Y no, no creo que tengas cosas mejores que hacer.
    [ Padre ]
  • Re:pregunta?

    (Puntos:1, Informativo)
    por pobrecito hablador el Miércoles, 09 Abril de 2014, 16:31h (#1358384)
    Solo a MiTM y tambien a sniffing si no tienen PFS. Siempre que alguien hubiera comprometido la parte privada del certificado antes.
    [ Padre ]
  • Re:Dos años...

    (Puntos:1)
    por LuisG123V (47653) el Miércoles, 09 Abril de 2014, 18:06h (#1358407)
    Estaba a punto de escribir lo mismo
    [ Padre ]
  • Re:Meigas

    (Puntos:1, Inspirado)
    por pobrecito hablador el Miércoles, 09 Abril de 2014, 19:28h (#1358413)
    También puede supponerse que las agencias ya usaron este bug hasta la saciedad y que ahora no quieren que otros (hackers o agencias rivales) lo usen a su vez. Entonces informan a un ingeniero a su servicio en Google, para que este haga público el problema y se proceda a corregirlo.
    A ver quien me gana en conspiranoico.
    [ Padre ]
    • Re:Meigas de pobrecito hablador (Puntos:1) Miércoles, 09 Abril de 2014, 20:10h
    • 2 respuestas por debajo de tu umbral de lectura actual.
  • 9 respuestas por debajo de tu umbral de lectura actual.