Qué hacer para protegernos de Heartbleed, la actual amenaza de Internet
El reciente descubrimiento de Heartbleed, una vulnerabilidad de OpenSSL, ha puesto en jaque al mundo digital y supone una amenaza para todo aquel que navegue por Internet. Esta vulnerabilidad afecta al sistema de cifrado de contraseñas utilizado por muchas páginas web. A continuación os contamos qué podemos hacer para protegernos.
Ayer os contábamos el descubrimiento de una nueva vulnerabilidad relacionada con Internet. El nombre de esta vulnerabilidad es Heartbleed y ha sido descubierta en la conocida librería OpenSSL. El error detectado permite que cualquier usuario pueda leer hasta 64 KB de memoria en un servidor. Esa memoria puede contener información muy importante sobre los usuarios o servidores, como pueden ser contraseñas. Los responsables de OpenSSL actuaron rápido y al poco tiempo sacaron una nueva versión corrigiendo dicha vulnerabilidad. El problema está en que eso no es suficiente, ya que los responsables de los servicios deben encargarse de parchearlo y en algunos casos pueden tardar un tiempo importante. Yahoo! ha sido uno de los servicios más afectados debido a que tardó más de un día en parchearlo.
Servicios afectados
No solo Yahoo! ha sido afectado de forma importante. Los servicios de alojamiento de imágenes Flickr y 500px se han visto afectos en algún momento. También sitios como la web de vídeos porno Redtube o la página de XDA Developers han tenido problemas. En este enlace podemos ver una lista de páginas que han sido, son o pueden ser vulnerables a Heartbleed. Afortunadamente, muchos de las páginas más visitas y usadas no han tenido problemas, ya que la versión de OpenSSL que utilizan no está afectada o, simplemente, no utilizan OpenSSL. Entre ellas se encuentra, YouTube, Amazon, Google o Facebook.
¿Cómo protegernos?
Desgraciadamente, el usuario final no puede hacer nada para corregir la vulnerabilidad. Lo que podemos hacer para protegernos es tener cuidado y evitar visitar páginas web que estén afectadas o corran el riesgo de estarlo. Esto se debe a que el error debe ser corregido en el propio servidor de cada sitio web, por lo que toca esperar a futuros comunicados de cada servicio indicando si han conseguido corregir el fallo. En RedesZone nos cuentan cómo podemos comprobar si una web es vulnerable a Heartbleed. Para ello tenemos que visitar esta web y hacer un test online que nos dirá si es vulnerable o no.
Fuente > ADSLZone
La caridad comienza por casa!
Ustedes mismos son vulnerables!!!
Pregunto desde el desconocimiento: ¿Y donde usa adslzone el puerto 443 para protocolo de cifrado?
No lo utiliza. por que si no seria cifrado seguro. y nos aparecia el tipico candado El compañero de arriba creo que se ha equivocado
No todas las distribuciones están afectadas, por ejemplo: los que tengan en sus servidores “Debian Squeeze” NO les afecta.
Debian/Linux o el OS en sí no es el problema, el problema es de OpenSSL; si tu Debian tiene una versión de OpenSSL más actual y que no es la que corrige el problema -y no es la que trae por defecto-, entonces es perfectamente vulnerable.
Si, dime algo que no sepa? Y quien es el lumbreras que instala una versión de OpenSSL inestable o cualquier otro paquete inestable en un servidor con Debian “estable”, vamos hay que ser insensato! Porque te cargas la seguridad y la estabilidad del servidor de un plumazo. Para tener versiones más actuales pero menos seguras lo más inteligente es elegir otra distribución.
Como he dicho antes, Debian Squeeze NO esta afectado por el problema.
Siguen errando; si en tu versión de Debian Squeeze has actualizado el OpenSSL a una versión vulnerable, eres vulnerable; la versión a la que hayas actualizado es perfectamente estable, salvo que ahora sabes que es vulnerable, y por tanto ,tendrás que volver a actualizar a la nueva que lo corrige. No depende de tu Debian, depende de OpenSSL corriendo en Debian, que es diferente…
Debian Squeeza usando OpenSSL 0.9.8 -que trare por defecto-, no es vulnerable; si has actualizado el OpenSSL a la 1.0.0 por ejemplo, entonces sí eres vulnerable; y eso es una versión perfectamente estable que trae más cosas que la 0.9.8 por ejemplo no tiene o implementa…
Perdón, en el ejemplo anterior, quedar constancia que lo vulnerable es:
•OpenSSL 1.0.1 through 1.0.1f (inclusive) are vulnerable
•OpenSSL 1.0.1g is NOT vulnerable
•OpenSSL 1.0.0 branch is NOT vulnerable
•OpenSSL 0.9.8 branch is NOT vulnerable
Si usas Debian Squeeze, y has puesto por ejemplo OpenSSL 1.0.1f porque necesitas alguna opción/funcionalidad que provee y no trae la 0.9.8, estás usando una versión completamente estable pero eres vulnerable…
Lo mismo sucede, por ejemplo, si usas un Windows Server 2012 R2, que noes vulnerable, y le pones OpenSSL 1.0.1f, pues entonces eres vulnerable…
La estable de Debian es Wheezy y sí esta afectada . Lo puedes ver su propio DSA de la web oficial ( https://www.debian.org/security/2014/dsa-2896 )
Asi que…
Linux Fans Detected