El pasado 7 de abril Google reveló la existencia de un error de programación en la capa de cifrado de Open SSL, popular biblioteca de software criptográfico de código abierto. El bug o grieta de seguridad, denominada Heartbleed, pone en riesgo a cientos de miles de servidores de servicios en la web que no hayan aún sustituido su versión vulnerable por la actualización Open SSL 1.0.1g (www.openssl.org), que corrige la falla, liberada también ese día.
Se le llama Heartbleed (corazón sangrante) porque la falla se encuentra en la implementación Open SSL de la extensión”heartbeat? (ritmo cardíaco) TLS/Dtls, protocolos de seguridad de la capa de transporte. Cuando se explota conduce a la filtración de contenido de la memoria desde el servidor al cliente y desde el cliente al servidor. No es un defecto de diseño en la especificación del protocolo SSL/TSL, se trata de un problema de implementación; es decir, un error de programación en la biblioteca Open SSL que proporciona servicios criptográficos para las aplicaciones y servicios.
Esta debilidad permite robar la información protegida, bajo condiciones normales, por el cifrado SSL /TLS para asegurar Internet (en sitios https).
Mientras las versiones vulnerables de Open SSL estén en uso, puede haber ataques. Fixed Open SSL (versión 1.0.1g) ha sido liberado y ahora tiene que ser desplegado. Proveedores de sistemas operativos, distribución, dispositivos y de software independientes tienen que adoptar la corrección y notificar a sus usuarios. Los proveedores de servicios y usuarios deberán instalar la revisión en cuanto esté disponible para los sistemas operativo s, aplicaciones en red y software que utilizan.
Han aparecido en la Web algunos links para probar la vulnerabilidad de sitios https, como www.filippo.io/ Heartbleed, creada por Filippo Valsorda. Es la misma que el navegador Chrome ha dispuesto para sus usuarios bajo la extensión Chromebleed que, una vez instalada, muestra una advertencia sobre si el sitio visitado está afectado por el error Heartbleed.
Yahoo, Facebook, Amazon, Dropbox y el software de conexión segura Tor fueron expuestos a esta vulnerabilidad, que puede incluso afectar en parte a cuentas de bancos por Internet que usen este cifrado, aunque la mayoría de estos utilizan sistemas complementarios de seguridad.
Google corrigió la falla en sus sitios Search, YouTube, Wallet (plataforma para pagos), Play, Apps y Apps Engine (para desarrolladores). Muchos servidores ya han parcheado, pero otros no y siguen vulnerables. Chromebleed comprueba la URL de la página cargada y si está afectada por Heartbleed, mostrará una notificación de Chrome.
Fuente: Entorno Inteligente
