El bug Heartbleed es una vulnerabilidad importante en la popular librería criptográfica OpenSSL. Está debilidad permite robar información protegida por encriptación SSL/TLS usada en la seguridad en Internet. SSL/TLS permite conexiones seguras y privadas en servicios web, de correo electrónico, mensajería instantánea y redes virtuales privadas (VPN).

Relacionada: cert.inteco.es/securityAdvice/Actualidad/Avisos_seguridad_tecnicos/gra

Repitiendo muchas veces el ataque – cada vez se pueden recuperar hasta 64 KB de la memoria del servidor – es probable que se acaben encontrando cosas de valor. Además, las estructuras más valiosas, como las claves privadas que comentábamos, son relativamente fáciles de encontrar cuando están guardadas en memoria. En resumen, es un fallo muy grave, una ventana abierta a los entresijos confidenciales de OpenSSL.

El proyecto de navegación anónima Tor actualiza el navegador y hace recomendaciones para los otros integrantes de la red

Heartbleed es una falla en la tecnología de encriptación OpenSSL que afecta a casi dos tercios de los servidores web, incluidos grandes sitios como Facebook, Yahoo, Amazon y Google. A través de ella, los criminales cibernéticos pueden acceder a los datos personales de los usuarios (contraseñas, correos, números de tarjetas) y a las claves criptográficas del sitio para crear imitaciones de las páginas y recolectar aún más información.

Seguramente estáis al tanto de la que fue noticia del día de ayer en materia de seguridad informática: una vulnerabilidad en OpenSSL que afectaría a dos de cada tres servidores del mundo y que algunos expertos califican como la de mayor gravedad en la historia de Internet. En esencia, lo que propiciaba el agujero, al que han denominado Heartbleed en relación a una función concreta de OpenSSL, era la vulneración total del sistema de cifrado que utiliza una gran parte de las transmisiones en línea supuestamente seguras.

Repaso a alternativas de código abierto a OpenSSL.

Cloudflare admitió desde un principio que el bug Heartbleed era bastante grave, sin embargo, dijo que robar las llaves SSL de un servidor afectado por el bug sería muy difícil, y casi imposible de hacerlo en los servidores NGINX. Para demostrar lo dicho, crearon un reto que consistían en que investigadores intenten robar sus llaves de cifrado de su servidor, y dicho y hecho, ha sucedido. El CEO de Cloudflare, Matthew Prince, acaba de confirmar que dos investigadores consiguieron robar las llaves de sus servidores usando el bug de OpenSSL.

Heartbleed, la vulnerabilidad que afecta a cientos de miles de servidores de Internet, podría hacer que unas 1.300 aplicaciones de Android estuvieran indefensas, según un análisis que ha hecho la empresa software de seguridad Trend Micro entre más de 390.000 aplicaciones de Google Play.

La red ha sido azotada con uno de los problemas más preocupantes que se recuerdan. Algunos incluso aseguran que se trata del mayor fallo de seguridad de la historia de internet. Se conoce como Heartbleed y seguro que has oído hablar de él en multitud de ocasiones durante los últimos días.

Aquí va una lección sobre seguridad informática: las contraseñas son importantes. Mantienen tu información segura. Además impiden que otras personas suplanten tu identidad. Desafortunadamente, un lector de The Switch ha tenido que aprenderlo por las bravas.

La mitad de Internet cayó víctima de la mayor amenaza, Heartbleed bug y la red más popular de anonimato en linea Tor tampoco están a salvo de este bug.

Parece que la comunidad de software libre en particular, y los usuarios de Internet en general, no ganan para sustos y preocupaciones en los últimos días. A fecha de hoy han aparecido problemas en la práctica totalidad de las tecnologías que se usan para hacer que las conexiones sean seguras en Internet y en especial, GnuTLS y OpenSSL. Las acciones a tomar para protegernos dependerán de si tenemos un servidor, somos clientes de un servidor seguro (https), o si tenemos hardware afectado, por lo que revisaremos cada caso de forma individual.

Asisto perplejo a las recientes noticias sobre vulnerabilidades encontradas en las implementaciones SSL/TLS tanto de Linux como de iOS. Por si no estáis enterados, os pongo en antecedentes.

Muchos proyectos open source no tienen un financiamiento sólido y por lo tanto su funcionamiento no es óptimo. ¿Es correcto exigir seguridad sin aportar?

La noticia de la Vulnerabilidad en Open SSl conocida mas bien por HeartBleed ha sido noticia en esta ultimas semanas y donde hemos visto como las grandes empresas han comenzado a parchear sus servidores para evitar esta vulnerabilidad ahora bien en este articulo te mostraremos como actualizar tu server y que no sea vulnerable algo que es bastante fácil.

Dos meses después de que se descubrió este fallo informático, aún quedan 300,000 servidores expuestos. El problema impacta al OpenSSL, un software abierto (open-source) que se usa para la encriptación de la información a través de la web, y que, al ser explotado, puede filtrar datos de cuentas de registro, incluyendo números de usuarios y contraseñas.

OpenSSL ha publicado un nuevo plan de acción que busca contrarrestar las preocupaciones que lo catalogan como un proyecto que reacciona lenta e inconsistentemente.

Hace ya un par de días que estoy siguiendo una discusión en TOR Project sobre la seguridad de la plataforma de anonimato en la red porque pese a que investigadores de Carnegie Mellon dijeron que fueron obligados a cancelar una presentación en Black Hat que mostraba que TOR no era seguro, en la lista oficial negaron esto y solo dijeron que pidieron datos porque creen saber cual es el bug y lo están arreglando.Uso TOR desde 2005 y creo que es la única herramienta de anonimato online en la que confío

Kennedy explicó que el punto de entrada de los hackers fue un dispositivo del CHS que no había sido parcheado después de que saliese a la luz en abril el fallo Heartbleed. Los hackers fueron capaces de conseguir algunas credenciales de usuario de la memoria del dispositivo y utilizarlos para entrar en los sistemas de CHS a través de una red privada virtual, una herramienta que permite conexiones remotas seguras.

Hace unos meses, la vulnerabilidad en el código de cifrado OpenSSL conocida como Heartbleed puso en jaque a media Internet. Ahora, expertos en seguridad avisan de un nuevo fallo conocido como Bash, o shellshock bug, por afectar precisamente al programa informático Bash de ejecución de comandos. La vulnerabilidad permite a atacantes robar datos y ejecutar malware en sistemas Linux, Unix y Mac OS X.