Qué hacer para protegernos de Heartbleed, la actual amenaza de Internet

Escrito por Jorge Calderón
Virus

El reciente descubrimiento de Heartbleed, una vulnerabilidad de OpenSSL, ha puesto en jaque al mundo digital y supone una amenaza para todo aquel que navegue por Internet. Esta vulnerabilidad afecta al sistema de cifrado de contraseñas utilizado por muchas páginas web. A continuación os contamos qué podemos hacer para protegernos.

Ayer os contábamos el descubrimiento de una nueva vulnerabilidad relacionada con Internet. El nombre de esta vulnerabilidad es Heartbleed y ha sido descubierta en la conocida librería OpenSSL. El error detectado permite que cualquier usuario pueda leer hasta 64 KB de memoria en un servidor. Esa memoria puede contener información muy importante sobre los usuarios o servidores, como pueden ser contraseñas. Los responsables de OpenSSL actuaron rápido y al poco tiempo sacaron una nueva versión corrigiendo dicha vulnerabilidad. El problema está en que eso no es suficiente, ya que los responsables de los servicios deben encargarse de parchearlo y en algunos casos pueden tardar un tiempo importante. Yahoo! ha sido uno de los servicios más afectados debido a que tardó más de un día en parchearlo.

openssl-logo

Servicios afectados

No solo Yahoo! ha sido afectado de forma importante. Los servicios de alojamiento de imágenes Flickr y 500px se han visto afectos en algún momento. También sitios como la web de vídeos porno Redtube o la página de XDA Developers han tenido problemas. En este enlace podemos ver una lista de páginas que han sido, son o pueden ser vulnerables a Heartbleed. Afortunadamente, muchos de las páginas más visitas y usadas no han tenido problemas, ya que la versión de OpenSSL que utilizan no está afectada o, simplemente, no utilizan OpenSSL. Entre ellas se encuentra, YouTube, Amazon, Google o Facebook.

¿Cómo protegernos?

Desgraciadamente, el usuario final no puede hacer nada para corregir la vulnerabilidad. Lo que podemos hacer para protegernos es tener cuidado y evitar visitar páginas web que estén afectadas o corran el riesgo de estarlo. Esto se debe a que el error debe ser corregido en el propio servidor de cada sitio web, por lo que toca esperar a futuros comunicados de cada servicio indicando si han conseguido corregir el fallo. En RedesZone nos cuentan cómo podemos comprobar si una web es vulnerable a Heartbleed. Para ello tenemos que visitar esta web y hacer un test online que nos dirá si es vulnerable o no.

Fuente > ADSLZone

Continúa leyendo
Comentarios
10 comentarios
  1. Anónimo
    Usuario no registrado
    09 Abr, 14 6:42 pm

    La caridad comienza por casa!
    Ustedes mismos son vulnerables!!!

    1. Anónimo
      Usuario no registrado
      09 Abr, 14 6:52 pm

      Pregunto desde el desconocimiento: ¿Y donde usa adslzone el puerto 443 para protocolo de cifrado?

      1. Anónimo
        Usuario no registrado
        09 Abr, 14 7:24 pm

        No lo utiliza. por que si no seria cifrado seguro. y nos aparecia el tipico candado El compañero de arriba creo que se ha equivocado

  2. Anónimo
    Usuario no registrado
    10 Abr, 14 11:40 am

    No todas las distribuciones están afectadas, por ejemplo: los que tengan en sus servidores “Debian Squeeze” NO les afecta.

    1. Anónimo
      Usuario no registrado
      10 Abr, 14 4:54 pm

      Debian/Linux o el OS en sí no es el problema, el problema es de OpenSSL; si tu Debian tiene una versión de OpenSSL más actual y que no es la que corrige el problema -y no es la que trae por defecto-, entonces es perfectamente vulnerable.

      1. Anónimo
        Usuario no registrado
        11 Abr, 14 11:17 am

        Si, dime algo que no sepa? Y quien es el lumbreras que instala una versión de OpenSSL inestable o cualquier otro paquete inestable en un servidor con Debian “estable”, vamos hay que ser insensato! Porque te cargas la seguridad y la estabilidad del servidor de un plumazo. Para tener versiones más actuales pero menos seguras lo más inteligente es elegir otra distribución.

        Como he dicho antes, Debian Squeeze NO esta afectado por el problema.

        1. Anónimo
          Usuario no registrado
          11 Abr, 14 11:51 am

          Siguen errando; si en tu versión de Debian Squeeze has actualizado el OpenSSL a una versión vulnerable, eres vulnerable; la versión a la que hayas actualizado es perfectamente estable, salvo que ahora sabes que es vulnerable, y por tanto ,tendrás que volver a actualizar a la nueva que lo corrige. No depende de tu Debian, depende de OpenSSL corriendo en Debian, que es diferente…
          Debian Squeeza usando OpenSSL 0.9.8 -que trare por defecto-, no es vulnerable; si has actualizado el OpenSSL a la 1.0.0 por ejemplo, entonces sí eres vulnerable; y eso es una versión perfectamente estable que trae más cosas que la 0.9.8 por ejemplo no tiene o implementa…

          1. Anónimo
            Usuario no registrado
            11 Abr, 14 12:27 pm

            Perdón, en el ejemplo anterior, quedar constancia que lo vulnerable es:
            •OpenSSL 1.0.1 through 1.0.1f (inclusive) are vulnerable
            •OpenSSL 1.0.1g is NOT vulnerable
            •OpenSSL 1.0.0 branch is NOT vulnerable
            •OpenSSL 0.9.8 branch is NOT vulnerable

            Si usas Debian Squeeze, y has puesto por ejemplo OpenSSL 1.0.1f porque necesitas alguna opción/funcionalidad que provee y no trae la 0.9.8, estás usando una versión completamente estable pero eres vulnerable…
            Lo mismo sucede, por ejemplo, si usas un Windows Server 2012 R2, que noes vulnerable, y le pones OpenSSL 1.0.1f, pues entonces eres vulnerable…

      2. Anónimo
        Usuario no registrado
        14 Abr, 14 2:19 pm

        Linux Fans Detected