¿Qué sabes sobre el virus informático Heart Bleed?

Heartbleed es un error de seguridad en OpenSSL biblioteca de criptografía , que es una implementación ampliamente utilizada del protocolo Transport Layer Security (TLS). Heartbleed puede explotarse si la parte que usa una instancia de OpenSSL vulnerable para TLS es un servidor o un cliente. Los resultados de heartbleed de la validación de entrada incorrecta (debido a una comprobación de límites faltantes ) en la implementación de la extensión de latido TLS, siendo el latido la base del nombre del error. La vulnerabilidad se clasifica como una lectura excesiva del búfer , una situación en la que el software permite leer más datos de los que deberían permitirse.

Para más información mira la página en wikipedia: Heartbleed

Related Content

¿Las puertas traseras de cifrado son una buena técnica?

¿Cómo funciona Google Botguard?

¿Tiene conocimiento sobre cómo hacer que los sistemas seguros sean avanzados hasta el punto de que se puede denominar ingeniería de seguridad?

¿Qué tipo de virus es este?

¿Crees que se puede confiar en CafeBazaar en términos de seguridad?

En primer lugar, Heartbleed no es un “virus informático”, es una vulnerabilidad en la biblioteca de software criptográfico OpenSSL.
Esta debilidad permite robar la información protegida, en condiciones normales, por el cifrado SSL / TLS utilizado para proteger Internet. SSL / TLS proporciona seguridad de comunicación y privacidad a través de Internet para aplicaciones como web, correo electrónico, mensajería instantánea (IM) y algunas redes privadas virtuales (VPN).
El error Heartbleed permite a cualquier persona en Internet leer la memoria de los sistemas protegidos por las versiones vulnerables del software OpenSSL. Esto compromete las claves secretas utilizadas para identificar a los proveedores de servicios y para cifrar el tráfico, los nombres y las contraseñas de los usuarios y el contenido real. Esto permite a los atacantes espiar las comunicaciones, robar datos directamente de los servicios y usuarios y hacerse pasar por los servicios y usuarios.

La imagen a continuación da una idea básica de cómo funciona básicamente la falla.

Fuente: Explicación Heartbleed

Básicamente, un atacante puede tomar 64K de memoria de un servidor. El ataque no deja rastro, y se puede hacer varias veces para obtener una memoria aleatoria diferente de 64K. Esto significa que cualquier cosa en la memoria (claves privadas SSL, claves de usuario, cualquier cosa) es vulnerable. Y tienes que asumir que todo está comprometido. Todo ello.

“Catastrófico” es la palabra correcta. En la escala del 1 al 10, este es un 11.

Y desde el sitio web oficial de Heartbleed:

  • ¿Qué se filtra en la práctica?

Hemos probado algunos de nuestros propios servicios desde la perspectiva del atacante. Nos atacamos desde afuera, sin dejar rastro. Sin usar ninguna información o credenciales privilegiadas, pudimos robarnos las claves secretas utilizadas para nuestros certificados X.509, nombres de usuario y contraseñas, mensajes instantáneos, correos electrónicos y documentos y comunicaciones críticos para el negocio.

  • ¿Cómo detener la fuga?

Mientras la versión vulnerable de OpenSSL esté en uso, se puede abusar de ella. Se ha lanzado OpenSSL fijo y ahora debe implementarse. Los proveedores y la distribución del sistema operativo, los proveedores de dispositivos y los proveedores de software independientes tienen que adoptar la solución y notificar a sus usuarios. Los proveedores de servicios y los usuarios deben instalar la solución a medida que esté disponible para los sistemas operativos, los dispositivos en red y el software que utilizan.

La referencia oficial a este error es CVE-2014-0160.

También se dice que la NSA sabía sobre Heartbleed desde hace 2 años.

De Mashable ->

La NSA conocía el error de seguridad de Internet Heartbleed y lo usó regularmente para recopilar información durante al menos dos años, dijeron fuentes anónimas a Bloomberg.

Si el informe es cierto, tanto la Casa Blanca como la NSA dicen que no lo es (ver más abajo), la NSA podría haber recopilado información como contraseñas y comunicaciones privadas de cientos de miles de sitios web, ya que Heartbleed es un error en el popular código abierto El software de cifrado OpenSSL, utilizado para proteger los datos que fluyen de las computadoras de los usuarios a cientos de miles de sitios web, incluidos Gmail y Facebook. Según las estimaciones, casi dos tercios de todos los sitios en Internet usan OpenSSL, lo que hace que este error sea posiblemente uno de los más peligrosos que haya visto en Internet y posiblemente permita a la NSA acceder a información sobre millones de usuarios.

Lecturas adicionales y referencias:
Insecto sangrante
https://www.schneier.com/blog/ar
Informe: la NSA sabía sobre el error Heartbleed durante 2 años y no dijo nada

Piotr Szwach

Heartbleed no es un virus … es una vulnerabilidad de seguridad que se encuentra en OpenSSL: el kit de herramientas de código abierto para SSL / TLS.

Aquí hay una explicación laica dada en la tira cómica xkcd.

Fuente: Explicación Heartbleed

Avinash Joshi

Gracias por el A2A.

Aquí hay muchas explicaciones técnicas excelentes de HeartBleed, no veo ninguna razón para repetir lo que se dice en ellas.

Me centraré en otra cosa: cómo llegó a ser, y qué podemos aprender de eso …

HeartBleed fue causado por un error en OpenSSL. Como lo señala su nombre, OpenSSL fue un proyecto de código abierto basado en SSLeay, originalmente un proyecto de Eric Young y Tim Hudson que comenzó en 1995. Alrededor de ese tiempo, si deseaba proporcionar SSL como parte de su servidor web, tenía que comprar un software bastante caro (estaba usando un paquete por el cual pagué más de $ 1000 por instancia en ese momento).

La gente sentía que, dado que el estándar estaba abierto, no era razonable que el software que lo implementó fuera costoso, por lo que se propuso escribir una versión de código abierto. En diciembre de 1998, tanto Tim como Eric fueron a trabajar para RSA Security, lo que creó un conflicto de intereses, por lo que los voluntarios que mantenían la base del código bifurcaron una rama, la llamaron OpenSSL y continuaron. Actualmente hay cuatro miembros principales del equipo y catorce colaboradores activos.

La belleza del código abierto es que todos pueden ver todo, y es posible que cualquiera pueda encontrar, arreglar y empujar. El meme es que “muchos ojos hacen un mejor código”, y eso es muy cierto en la mayoría de los casos.

El problema es que no es el TRABAJO de nadie asegurarse de que el código sea correcto, y no hay un incentivo real para probar casos extremos: todos los que contribuyen lo hacen principalmente para asegurarse de que se satisfagan sus propias necesidades particulares. Esa puede ser una necesidad personal / social de contribuir a un proyecto, que puede ser una necesidad altruista de “devolver”, que puede ser una necesidad más calculada de tener un código funcional que los ayude a pagar sus facturas. Sea lo que sea, su trabajo no excederá el alcance de su compromiso, más o menos garantizado.

Entonces, HeartBleed. Era una falla, que una vez identificada, era obvia. El problema con eso es que no era obvio HASTA que fuera identificado.

No digo que el código abierto sea una mala idea, por el contrario, creo en él y he contribuido desde el llamado a la acción original de Dick Stallman (vea la respuesta de Stan Hanks a ¿Cuál es su viaje de código abierto? ¿Cómo comenzó? ¿Cuál fue su primer proyecto? ¿Cuál fue el suyo o una contribución?).

Lo que digo es que es fácil ser complaciente y luego señalar con el dedo cuando las cosas no funcionan.

Si tiene problemas con el equipo de OpenSSL y utilizó OpenSSL, apunte esos dedos hacia usted. ¿Por qué no encontraste el error?

Si eres un consumidor que fue quemado por un operador de un sitio web que usó OpenSSL, lo siento. Yo también soy uno de esos.

Piotr Szwach

Simplemente hablando: el protocolo https que era bien conocido como súper seguro fue diseñado con una fuga que podría causar la intercepción de muchos datos.

Avinash Joshi

Leí sobre Heart Bleed primero en un artículo de noticias. Es más un defecto en OpenSSL que creó un agujero de bucle para los piratas informáticos. Como sabemos, OpenSSL es un estándar que cifra la comunicación con un servidor. Por lo tanto, un pirateo aquí puede causar daños reales, ya que hay acceso a los datos privados del usuario que residen en la memoria de un servidor remoto. Especialmente los tránsitos durante las transacciones bancarias que almacenan los datos de la cuenta de usuario en una parte segura de un servidor web también pueden estar expuestos a un hacker. Se ha lanzado una solución para que podamos seguir adelante y aplicar el parche.

Avinash Joshi

More Interesting

¿Podemos evitar por completo las amenazas de seguridad?

Cómo aprender las pruebas de penetración

¿Qué debo aprender para convertirme en un experto en seguridad informática (paso a paso)?

¿Cómo es una carrera en seguridad de la información y redes?

¿Alguna empresa se ha beneficiado alguna vez de la garantía de un certificado SSL?

¿Cuál es el significado de KP-TSABE (Cifrado basado en atributos de tiempo de política clave especificado)?

¿Qué hacen los buenos hackers?

Cómo manejar las contraseñas cuando caducan con frecuencia, pidiéndole que establezca una nueva

Cómo protegerte de los hackers

¿Hay alguna manera de desactivar el micrófono en una computadora tan fácilmente como cubrir una cámara web?

¿Es posible que la NSA haya estado explotando el error 'heartbleed' todo el tiempo?

Si tiene 2 usuarios en una computadora (Admin y Usuario1) y el Usuario1 obtiene un virus, ¿afecta a ambos usuarios o solo al que lo adquirió?

¿Los firewalls tienen algún impacto particular en el rendimiento de los sitios web?

¿Se puede hacer más para evitar que el correo electrónico sea un vector de ataque para problemas de seguridad de Internet?

¿Existe algún recurso en línea que enseñe cómo eliminar malware y virus?