El bug Heartbleed es una vulnerabilidad importante en la popular librería criptográfica OpenSSL. Está debilidad permite robar información protegida por encriptación SSL/TLS usada en la seguridad en Internet. SSL/TLS permite conexiones seguras y privadas en servicios web, de correo electrónico, mensajería instantánea y redes virtuales privadas (VPN).

Relacionada: cert.inteco.es/securityAdvice/Actualidad/Avisos_seguridad_tecnicos/gra

Repitiendo muchas veces el ataque – cada vez se pueden recuperar hasta 64 KB de la memoria del servidor – es probable que se acaben encontrando cosas de valor. Además, las estructuras más valiosas, como las claves privadas que comentábamos, son relativamente fáciles de encontrar cuando están guardadas en memoria. En resumen, es un fallo muy grave, una ventana abierta a los entresijos confidenciales de OpenSSL.

El proyecto de navegación anónima Tor actualiza el navegador y hace recomendaciones para los otros integrantes de la red

Heartbleed es una falla en la tecnología de encriptación OpenSSL que afecta a casi dos tercios de los servidores web, incluidos grandes sitios como Facebook, Yahoo, Amazon y Google. A través de ella, los criminales cibernéticos pueden acceder a los datos personales de los usuarios (contraseñas, correos, números de tarjetas) y a las claves criptográficas del sitio para crear imitaciones de las páginas y recolectar aún más información.

Seguramente estáis al tanto de la que fue noticia del día de ayer en materia de seguridad informática: una vulnerabilidad en OpenSSL que afectaría a dos de cada tres servidores del mundo y que algunos expertos califican como la de mayor gravedad en la historia de Internet. En esencia, lo que propiciaba el agujero, al que han denominado Heartbleed en relación a una función concreta de OpenSSL, era la vulneración total del sistema de cifrado que utiliza una gran parte de las transmisiones en línea supuestamente seguras.

Repaso a alternativas de código abierto a OpenSSL.

Cloudflare admitió desde un principio que el bug Heartbleed era bastante grave, sin embargo, dijo que robar las llaves SSL de un servidor afectado por el bug sería muy difícil, y casi imposible de hacerlo en los servidores NGINX. Para demostrar lo dicho, crearon un reto que consistían en que investigadores intenten robar sus llaves de cifrado de su servidor, y dicho y hecho, ha sucedido. El CEO de Cloudflare, Matthew Prince, acaba de confirmar que dos investigadores consiguieron robar las llaves de sus servidores usando el bug de OpenSSL.

La red ha sido azotada con uno de los problemas más preocupantes que se recuerdan. Algunos incluso aseguran que se trata del mayor fallo de seguridad de la historia de internet. Se conoce como Heartbleed y seguro que has oído hablar de él en multitud de ocasiones durante los últimos días.

Parece que la comunidad de software libre en particular, y los usuarios de Internet en general, no ganan para sustos y preocupaciones en los últimos días. A fecha de hoy han aparecido problemas en la práctica totalidad de las tecnologías que se usan para hacer que las conexiones sean seguras en Internet y en especial, GnuTLS y OpenSSL. Las acciones a tomar para protegernos dependerán de si tenemos un servidor, somos clientes de un servidor seguro (https), o si tenemos hardware afectado, por lo que revisaremos cada caso de forma individual.

Lo cierto es que si echamos un poco la vista atrás, el número de errores en implementaciones de soluciones criptográficas ha sido grande en los últimos años, por error humano y falta de una auditoría profunda del código.

Tras los últimos fallos de seguridad en OpenSSL, un grupo de programadores de FreeBSD empezó LibreSSL. Éste es el particular resumen que hacen sobre los primeros 30 días de trabajo. El código de OpenSSL era horrible: hicieron su propio reemplazo de malloc, los desarrolladores no incorporaban los patches con correcciones de usuarios, sólo se preocupaban de añadir código, nunca de mantenerlo ni arreglarlo, etc. Relacionada: www.meneame.net/story/libressl-borron-cuenta-casi-nueva-mejorar-seguri

Hace un par de meses, a raíz del descubrimiento de todo el asunto de Heartbleed os hablamos de LibreSSL, todo un borrón y cuenta nueva que nació por pérdida de confianza en OpenSSL el proyecto original. Pues a LibreSSL ahora se une BoringSSL, un fork de OpenSSL iniciado por Google, que parece también querer aportar su granito de arena.La intención de Google, en principio, no es competir con OpenSSL ni con LibreSSL, y de hecho Google ha aportado el sueldo de dos desarrolladores a tiempo completo para trabajar en corregir los errores en OpenSSL

OpenSSL ha publicado un nuevo plan de acción que busca contrarrestar las preocupaciones que lo catalogan como un proyecto que reacciona lenta e inconsistentemente.

LibreSSL el fork de OpenSSL, creado en abril de este año y desarrollado por el equipo de OpenBSD, acaba de lanzar una edición actualizada de su biblioteca que la hace compatible con otros sistemas, concretamente Linux, Solaris, Mac OS X, y FreeBSD.

Hace ya un par de días que estoy siguiendo una discusión en TOR Project sobre la seguridad de la plataforma de anonimato en la red porque pese a que investigadores de Carnegie Mellon dijeron que fueron obligados a cancelar una presentación en Black Hat que mostraba que TOR no era seguro, en la lista oficial negaron esto y solo dijeron que pidieron datos porque creen saber cual es el bug y lo están arreglando.Uso TOR desde 2005 y creo que es la única herramienta de anonimato online en la que confío

Kennedy explicó que el punto de entrada de los hackers fue un dispositivo del CHS que no había sido parcheado después de que saliese a la luz en abril el fallo Heartbleed. Los hackers fueron capaces de conseguir algunas credenciales de usuario de la memoria del dispositivo y utilizarlos para entrar en los sistemas de CHS a través de una red privada virtual, una herramienta que permite conexiones remotas seguras.

Se aconseja a las administradores de servidores que actualicen OpenSSL de nuevo para solucionar ocho nuevas vulnerabilidades, dos de las cuales pueden permitir ataques de denegación de servicio (DoS).

Una página para generar nombres graciosos para los nuevos agujeros de seguridad

Lo ideal en el mundo en que vivimos sería que toda la Web estuviese cifrada, pero no es tan sencillo como parece. Linux Foundation ha anunciado que acogerá otro proyecto en su seno: Let’s Encrypt. Y es genial porque si Let’s Encrypt ya era una genialidad de por sí, con la fundación como sostén tiene mayores garantías de éxito. Let’s Encrypt facilitará la implementación del cifrado al extremo -tiene potencial para convertirse en un servicio universal- sino que proveerá de una autoridad de certificación de manera automatizada, abierta y gratuita.

El proyecto OpenSSL ha confirmado una nueva vulnerabilidad cuyo impacto no ha desvelado.

Se desconoce el alcance del error, así que habrá que esperar a mañana, a que se pueda revisar el código fuente

OpenSSL es un proyecto criptográfico que nos permite trabajar con protocolos como SSL y TLS. Es muy usado a nivel de servidores en Internet y está disponible bajo diferentes licencias libres –Apache y BSD principalmente– para la mayoría de sistemas operativos: GNU/Linux, Solaris, *BSD, OSX o Windows. Entre las características que ofrece la biblioteca de OpenSSL está la de generar certificados o claves soportando multitud de algoritmos y estándares de cifrado —Blowfish, Camellia, AES, RSA, IDEA, etc.— que podemos aprovechar para cifrar archivos.