Un bug de seguridad en el sistema ha abierto la posibilidad que ciberdelincuentes puedan robar contraseñas en sitios seguros.
Recientemente fue descubierto un hueco de seguridad en OpenSSL, uno de los protocolos más usados en servidores Linux. La firma de seguridad Codenomicon publicó esta amenaza encontrada, al parecer activa desde el 2011. Lo que hace en esencia es ingresar a la memoria RAM y entonces permite robar la información encriptada y con ello las contraseñas de los usuarios – más el resto de paquetes alojados temporalmente.
Los ingenieros de Google que trabajan a su vez en dicha firma de seguridad, dieron de alta el sitio http://heartbleed.com/, en donde explican a detalle este bug. Dentro de la librería criptográfica de OpenSSL, la falla permite saltear la encriptación SSL/TLS, normalmente usada para proteger los datos y la comunicación para aplicaciones Web, correo electrónico, mensajería instantánea y algunas redes virtuales privadas (VPN).
Dicha vulnerabilidad de la librería, una vez encontrada, permite a cualquiera leer la memoria del sistema protegido, con lo cual es posible robar información directamente de los servicios sin dejar rastro alguno de la intrusión. Acorde al sitio, los ingenieros practicaron el ethical hacking dentro de los servidores de Google y en efecto fueron capaces de robar información confidencial y crítica de la empresa.
De acuerdo con el sitio, Neel Mehta, parte del staff de seguridad de Google encontró la falla en la librería; mientras Adam Langley y Bodo Moeller realizaron el parche necesario para recuperar la seguridad del protocolo. Con respecto a la industria, servidores de nube pública se vieron comprometidos en algún momento, pero por la naturaleza de este elemento “desprotegido” no es posible saber cuáles son los daños reales o si en efecto algún cracker pudo utilizar tal falla a su favor. Al respecto de las versiones comprometidas comentaron:
• OpenSSL 1.0.1 hasta 1.0.1f son vulnerables
• OpenSSL 1.0.1g No vulnerable
• OpenSSL 1.0.0 branch No vulnerable
• OpenSSL 0.9.8 branch No vulnerable
Estas versiones pueden encontrarse dentro de los siguientes sistemas operativos, considerados como vulnerables:
• Debian Wheezy (stable), OpenSSL 1.0.1e-2+deb7u4
• Ubuntu 12.04.4 LTS, OpenSSL 1.0.1-4ubuntu5.11
• CentOS 6.5, OpenSSL 1.0.1e-15
• Fedora 18, OpenSSL 1.0.1e-4
• OpenBSD 5.3 (OpenSSL 1.0.1c 10 Mayo 2012) y 5.4 (OpenSSL 1.0.1c 10 Mayo 2012)
• FreeBSD 10.0 – OpenSSL 1.0.1e 11 (Feb 2013)
• NetBSD 5.0.2 (OpenSSL 1.0.1e)
• OpenSUSE 12.2 (OpenSSL 1.0.1c)
La firma de seguridad no hizo recomendaciones hacia el usuario final, salvo el cambio de contraseñas de sus sitios frecuentes y monitoreo de información personal. No obstante comentaron que los responsables de servidores e infraestructura revisen inmediatamente sus librerías de seguridad. Una herramienta de ayuda puede encontrarse en http://filippo.io/Heartbleed/. De ser necesario, se puede agregar una línea de código que detenga el proceso “Heartbeats”.
Conozca más en http://heartbleed.com/