Heartbleed, SSL no tan seguro
Llevamos un par de semanas con el asunto Heartbleed en primera plana de las noticias de tecnología. No es para menos porque este grave fallo de seguridad ha puesto patas arriba internet comprometiendo claves privadas, contraseñas, certificados y validación de servidores. La causa es un un fallo en la librería SSL que incorporan muchos servicios y la solución definitiva a los problemas de seguridad generados no es nada trivial.
Heartbleed permite a los atacantes conseguir claves privadas de servidores, con las que podrían realizar ataques MITM. Repasemos HTTPS: si un atacante tiene la clave de Google (por ejemplo), podría montar un servidor que se hiciese pasar por legítimo de Google. Tu navegador se conectaría a él y no te darías cuenta, de tal forma que en lugar de enviar tus datos confidenciales (correos, contraseñas, usuarios…) a Google, lo harías al atacante. Fantástico, ¿verdad?
Evidentemente, en estos momentos nos encontramos en un panorama devastador, dónde las claves privadas de casi todos los servicios en Internet pueden haber sido vulnerados, además de las claves que utilizamos en esos servicios. La solución pasa por actualizar y regenerar todos los certificados y contraseñas. No nos vale con cambiar las claves si antes no se parchea el SSL en servidores, y una vez resuelto el primer problema pasaremos a cambiar contraseñas. Quedará por regenerar los certificados digitales que permiten establecer relaciones de confianza con diferentes máquinas «seguras» y propagar la anulación de los anteriores certificados para evitar ataques Man in the Middle (servicios que se hagan pasar por la máquina segura para interceptar nuestras credenciales).
Lo primero y más importante, actualizar la librería OpenSSL a una versión no vulnerable, a partir de la 1.0.1g. También se recomienda encarecidamente regenerar toda aquella información afectada, claves de usuarios, claves privadas… Esta tarea puede ser ardua y suponer un esfuerzo considerable, pero nadie nos asegura si, durante el período hasta la actualización de nuestros servicios vulnerables, pudiera haberse explotado este fallo para obtener de manera masiva información sensible.
- http://www.genbeta.com/seguridad/heartbleed-otro-fallo-extremadamente-grave-en-una-libreria-ssl
- http://www.genbeta.com/seguridad/heartbleed-y-certificados-ssl-por-que-hay-que-renovarlos-y-por-que-no-se-esta-haciendo-bien
- http://www.securitybydefault.com/2014/04/desangrando-el-corazon-de-openssl-cve.html
- http://heartbleed.com/