Blog de Orlando Alonzo

Comentarios sobre tecnología, redes sociales y cosas como desarrollo de software, libros y películas.

Etiqueta: openssl

HeartBleed: dos meses después, cientos de miles de servidores siguen vulnerables

Logo HeartBleed

A pesar de ser una de las peores vulnerabilidades de seguridad en la red que se han dado en años recientes, HeartBleed aún sigue dando de que hablar, pues según informes de la empresa Errata Security aún quedan poco más de 300,000 servidores que no tienen los parches adecuados; esta empresa encontró estos servidores haciendo un simple escaneo de puertos 443, y es consistente con el estudio que realizó antes y donde encontraron casi 310,000, de lo que sale una diferencia de apenas unos 9,000 servidores parchados en 30 días, lo cual pareciera que los responsables de aplicar dichos parches se están volviendo flojos. El método usado por Errata Security no es exactamente preciso, así que podrían ser menos…o quizás muchos más los servidores infectados. Y es que este problema del HeartBleed es particularmente peligroso porque habrá software que nunca será parchado, como el de los sistemas empotrados, teléfonos viejos con Android, cajeros automáticos y otros más que difícilmente verán actualizaciones. Como en veces anteriores, hay poco que se puede hacer al respecto; una de esas cosas es instalar un plugin en tu navegador para detectar sitios vulnerables y evitarlos en particular en el tema de solicitud de datos bancarios; usar características de seguridad de sentido común como passwords fuertes y únicos, habilitar esquemas de autenticación de dos factores y ser un poquito menos confiados de que no nos pasará nada mientras navegamos en la red, más aún cuando el panorama de recuperación de este HeartBleed no es bueno – los investigadores que proporcionaron las cifras de este estudio dicen que aún dentro de 10 años esperan encontrar miles de servidores sin parchar.

Descubren nuevo lote de vulnerabilidades en OpenSSL, algunas que datan de 1998

Puerta trasera abierta...

Seis nuevas vulnerabilidades se han encontrado en OpenSSL, librería que todavía se está recuperando del desastre de HeartBleed; esta vez las vulnerabilidades son variadas, y permiten, por mencionar uno, un ataque del tipo “hombre en medio” que dan pie a que se pueda “escuchar” las comunicaciones encriptadas, así como también poder introducir malware en los sistemas comprometidos. Las versiones de OpenSSL afectadas son varias, que van desde la 0.9.8 hasta la 1.0.2-beta1. Un dato que llama la atención es que una de las vulnerabilidades descubiertas data de la primera versión de OpenSSL en 1998…es decir, hemos vivido 16 años con esos errores en el software. Quizás lo único positivo es que estas nuevas vulnerabilidades no son tan fáciles de explotar, a diferencia de HeartBleed. Lo que hay que hacer a la voz de ya es parchar sus servidores o cualquier otro software o hardware que haga uso de OpenSSL; en particular, los que usen la red Tor deberían actualizar su software pues son particularmente vulnerables a ataques del tipo “hombre en medio”. Reflexionando sobre los diversos problemas de seguridad que han habido respecto a OpenSSL, habría que preguntarse: ¿es esto bueno o malo? yo creo que es bueno pasar por este episodio problemático, en particular porque desde el problema de HeartBleed las miradas de todos están puestas en el desarrollo (y apoyo en consecuencia) de OpenSSL, así que creo que es el mejor momento para arreglar los problemas que pueda tener esta librería tan usada por todos.

Bug Heartbleed de OpenSSL: que es y porqué Internet está medio desnudo desde ahora

Logo usado para el bug heartbleed de OpenSSL

Mensaje del Proyecto Tor sobre que tan grave es este bug, sólo para aclarar las cosas:

Si necesitas anonimato o privacidad fuertes en Internet, quizás debieras mantenerte alejado por completo de Internet por unos días hasta que se asienten las cosas.

Y todos pensábamos que el que iba a tener problemas era Windows XP ahora que se queda sin soporte. Ahora le toca el turno a algo que es casi casi una de las columnas vertebrales hoy en día en lo que es seguridad en Internet, me refiero a OpenSSL; para los que no lo conozcan, les cuento que es un software de fuente abierta que implementa varios algoritmos y protocolos criptográficos que se usan para mantener seguros los canales de comunicación sensibles de la red. Uno de esos protocolos es TLS, que es el sucesor de otro que quizás conozcas (SSL), y que se usa para hacer que la comunicación entre dos puntos (de manera muy general tu computadora y algún servidor en algún lado) sea segura. Una de las características de TLS es que permite algo llamado heartbeat (“latido de corazón” literalmente), que no es más que un mensaje con formato que manda un punto para ver si el otro lado aún está activo y respondiendo. Resulta que con cierto tipo de heartbeat construido especialmente con fines maliciosos se puede tener acceso al espacio de memoria del servidor en bloques de 64 kb, lo que es repetible una y otra vez, y es lo que se conoce como el bug Heartbleed, o mejor dicho, la vulnerabilidad CVE-2014-0160. Aquí es donde viene el problema: de ese espacio de memoria, un atacante podría obtener datos como llaves privadas del servidor, llaves de sesión de TLS, datos confidenciales como passwords y demás, entre otras cosas…pero para que queremos más, con las llaves privadas del servidor es más que suficiente para crear problemas.

El bug Heartbleed ha existido desde hace dos años y afecta a OpenSSL versiones 1.0.1 hasta 1.0.1f; aquellos que usen Linux para sus servidores, sepan que las distribuciones Debian Wheezy, Ubuntu 12.04 LTS, Fedora 18, Red Hat Enterprise Linux 6.5, OpenBSD 5.3 y 5.4, FreeBSD 10.0, NetBSD 5.0.2 y OpenSUSE 12.2 todas están afectadas por este Heartbleed. Lo que verdaderamente me asusta de todo esto es que no hay forma de saber si una infraestructura ya fue atacada, pues este ataque no deja rastros de ningún tipo pues no se guarda en ningún log. No requiere criptografía de ningún tipo, es más, es resultado de un error bastante común de codificación. Y el software que echa mano de OpenSSL, entiéndase Apache y nginx, se usan para dar batería al 66% del total de todos los sitios…es decir, dos terceras partes de Internet están desnudas. Esto es verdaderamente una mala noticia.

Continue reading