Bug Heartbleed de OpenSSL: que es y porqué Internet está medio desnudo desde ahora

Logo usado para el bug heartbleed de OpenSSL

Mensaje del Proyecto Tor sobre que tan grave es este bug, sólo para aclarar las cosas:

Si necesitas anonimato o privacidad fuertes en Internet, quizás debieras mantenerte alejado por completo de Internet por unos días hasta que se asienten las cosas.

Y todos pensábamos que el que iba a tener problemas era Windows XP ahora que se queda sin soporte. Ahora le toca el turno a algo que es casi casi una de las columnas vertebrales hoy en día en lo que es seguridad en Internet, me refiero a OpenSSL; para los que no lo conozcan, les cuento que es un software de fuente abierta que implementa varios algoritmos y protocolos criptográficos que se usan para mantener seguros los canales de comunicación sensibles de la red. Uno de esos protocolos es TLS, que es el sucesor de otro que quizás conozcas (SSL), y que se usa para hacer que la comunicación entre dos puntos (de manera muy general tu computadora y algún servidor en algún lado) sea segura. Una de las características de TLS es que permite algo llamado heartbeat (“latido de corazón” literalmente), que no es más que un mensaje con formato que manda un punto para ver si el otro lado aún está activo y respondiendo. Resulta que con cierto tipo de heartbeat construido especialmente con fines maliciosos se puede tener acceso al espacio de memoria del servidor en bloques de 64 kb, lo que es repetible una y otra vez, y es lo que se conoce como el bug Heartbleed, o mejor dicho, la vulnerabilidad CVE-2014-0160. Aquí es donde viene el problema: de ese espacio de memoria, un atacante podría obtener datos como llaves privadas del servidor, llaves de sesión de TLS, datos confidenciales como passwords y demás, entre otras cosas…pero para que queremos más, con las llaves privadas del servidor es más que suficiente para crear problemas.

El bug Heartbleed ha existido desde hace dos años y afecta a OpenSSL versiones 1.0.1 hasta 1.0.1f; aquellos que usen Linux para sus servidores, sepan que las distribuciones Debian Wheezy, Ubuntu 12.04 LTS, Fedora 18, Red Hat Enterprise Linux 6.5, OpenBSD 5.3 y 5.4, FreeBSD 10.0, NetBSD 5.0.2 y OpenSUSE 12.2 todas están afectadas por este Heartbleed. Lo que verdaderamente me asusta de todo esto es que no hay forma de saber si una infraestructura ya fue atacada, pues este ataque no deja rastros de ningún tipo pues no se guarda en ningún log. No requiere criptografía de ningún tipo, es más, es resultado de un error bastante común de codificación. Y el software que echa mano de OpenSSL, entiéndase Apache y nginx, se usan para dar batería al 66% del total de todos los sitios…es decir, dos terceras partes de Internet están desnudas. Esto es verdaderamente una mala noticia.

Leer más