Altenwald Blog
Blog sobre programación, software libre, redes, servidores, ...
Menú
Acerca de... ¿Quiénes somos? RSS
Categorías
sistemas (70) desarrollo (128) historias (25) productividad (49) seguridad (10) libros (25) noticias (45) opinión (35) humor (3)
Etiquetas
programación (111) desarrollo de software (79) erlang (75) opinión (37) noticia (36) libros (28) servidores (26) desarrollo web (24) base de datos (24) administración de sistemas (23) php (22) desarrollo ágil (22) empresa (21) otp (20) ruby (19) ingeniería de negocio (18) elixir (18) desarrollo profesional (16) redes (16) seguridad (14)
2014-04-13
4 min seguridad
Heartbleed: El Gran Bug de Seguridad
[ seguridad ]  [ ssl ]  [ bug ]  [ vulnerabilidad ] 

Se ha destacado como uno de los mayores peligros para la seguridad de Internet que ha afectado, según unos a dos tercios de todos los servidores de la red, y según otros solamente al 17%. Lo que sí es seguro es que este error ha afectado no solo a sitios pequeños y desarrollos aislados, sino a todos los usuarios y a todos los desarrollos. ¿En qué consiste el corazón sangrante?

Se ha denominado Corazón Sangrante (Heartbleed en inglés) a este error de implementación (bug) de la librería OpenSSL. El error descubierto por varias compañías grandes como Google y la empresa de seguridad Codenomicon.

¿En qué consiste la vulnerabilidad?

El error es lo que en programación se denomina una fuga de memoria (o leak). Estas fugas de memoria han servido históricamente a muchos virus para insertar sus códigos maliciosos en sistemas vulnerables o realizar actividades poco deseables para el usuario como la eliminación de información el reinicio del sistema.

En este caso, el problema es mucho más grave puesto que esa fuga de memoria permite al que la lanza obtener información de la memoria del servidor en varios niveles:

¿Qué sistemas estás afectados?

El error se introdujo en la librería OpenSSL desde la versión 1.0.1 hasta la 1.0.1f. Las versiones anteriores no estaban afectadas y las posteriores han sido corregidas. Estas versiones estaban presentes en:

Todas las distribuciones han distribuido a través de sus canales las actualizaciones que permiten subsanar este error. Pero para asegurarnos completamente es mejor utilizar esta herramienta y comprobar que nuestro sistema esté libre de amenza:

http://filippo.io/Heartbleed/

¿Cómo procedo para eliminar esta vulnerabilidad?

Si eres usuario de sistemas de correo abiertos (como Gmail, Yahoo u otros) y accedes a través de webmail, te aconsejo que revises si el sitio por el que accedes está comprometido y en caso afirmativo cierra sesión, notifica al administrador y una vez esté todo libre de peligro, entra y cambia tu clave.

Como administradores de sistemas debemos realizar la actualización de seguridad proporcionada por nuestra distribución de GNU/Linux. Si la versión de OpenSSL que empleamos ha sido compilada por nosotros mismos, entonces habrá que descargar una versión libre del fallo y recompilar.

El sistema habrá estado comprometido durante bastante tiempo, por lo que conviene seguir estos pasos:

Estos pasos asegurarán un sistema libre de incidentes de cara al futuro.

Conclusiones

Esta no es la primera ni la última vez que oiremos hablar de una vulnerabilidad en sistemas de Internet que pueda afectar de forma tan abierta tanto a sistemas grandes como pequeños y en general a todos los usuarios.

Pero también hay otros ataques a menor escala que se realizan diariamente y que pueden hacerse a través de fuerza bruta con el acceso con privilegio de superusuario de estos sistemas, ¿tienes preparada una estrategia de seguridad en tus servidores?, ¿cómo afrontas crisis como esta?, ¿monitorizas la seguridad de tus sistemas?

Autor
Manuel Rubio
Programación Concurrente & Erlanger