Los ingenieros de Codenomicon, Antti Karjalainen, Riku Hietamäki y Matti Kamunen y Neel Mehta de Google Security son los cuatro acreditados con el descubrimiento de la hazaña Heartbleed. Según Karjalainen, él y Hietamäki estaban probando algunas características nuevas para el conjunto de pruebas de protocolo de Codenomicon con una característica llamada Heartbeat, que envía datos entre servidores para ver si vuelven inalterados. Después de notar algunas irregularidades en los resultados, los ingenieros investigaron más a fondo con pruebas que revelarían Heartbleed.
“Estábamos en el lugar correcto con la herramienta adecuada”, dijo Karjalainen en un artículo de Business Insider. “Funcionó tal como temíamos. El servidor descargó la cantidad solicitada de su memoria. Cuando investigamos la respuesta más de cerca … pronto entendimos que esto es potencialmente una vulnerabilidad muy, muy mala”.
El especialista en seguridad de Codenomicon, Marko Laakso, notó que Open SSL de su conjunto de protocolos de prueba estaba introduciendo claves privadas en Internet.
- ¿Es ilegal hackear la cuenta de alguien si le dieron su contraseña?
- ¿Qué tan seguro es el correo electrónico?
- Mi computadora tenía un virus pero fue eliminada de acuerdo con Norton. ¿Todavía es seguro usar la PC y los archivos ahora?
- ¿Qué sucede cuando su computadora está infectada con un virus?
- ¿Hay un keylogger en mi computadora?
“Las claves privadas son las joyas de la corona de Internet seguro”, dijo Karjalainen. “Se utilizan para demostrar que usted es quien realmente dice ser. Así que esta fue potencialmente la peor vulnerabilidad en la historia de Internet”.
Aunque el problema de Heartbleed pasó desapercibido durante dos años, muchos coinciden en que la mayoría de los hackers no lo sabían hasta que se reveló a principios de esta semana. Para los afectados, es mejor cambiar las contraseñas y no usar la misma en varios sitios.
Fuentes:
Cómo se descubrió el error Heartbleed
