Comprueba si tu servidor web está afectado por el fallo de seguridad HeartBleed en la libreria OpenSSL. Para comprobar si un determinado servicio está afectado, basta con realizar un test online. Sin embargo, si además de comprobar que vuestro servidor es vulnerable queréis ver qué información se podría filtrar a un usuario malicioso, podéis visitar este GitHub donde encontraréis un programa en python que se encarga de descargar esta información.

Desde que se publicó el bug de Heartbleed ha sido un día duro en Eleven Paths, como en muchas otras compañías de Internet para conseguir tener los sistemas actualizados sin sufrir interrupciones de servicio, para lo que hubo que tensar los procedimientos de emergencia y trabajar muchas horas y con intensidad. Si no te has enterado aún de qué este fallo, voy a intentar hacerte entender la magnitud del fallo para que tomes tus medidas de seguridad.

La vulnerabilidad CVE-2014-0160 es ya considerada como uno de los mayores fallos de seguridad en Internet conocidos hasta la fecha y ya están apareciendo algunos PoC que facilitan su explotación de forma masiva.

A principios de semana se destapó al mundo posiblemente una de las vulnerabilidades más graves de la historia de Internet tanto por importancia como por alcance. Heartbleed es un agujero de seguridad encontrado en algunas versiones de OpenSSL, concretamente desde la 1.0.1 y la 1.0.1f, que permitiría a un atacante acceder a parte de la memoria del proceso del mismo; algo que se vuelve aún más delicado al tener en cuenta que OpenSSL juega un papel clave en el cifrado de las comunicaciones en Internet.

El 8 de abril de 2014, los investigadores de seguridad anunciaron un defecto en la biblioteca OpenSSL software de cifrado utilizado por muchos sitios web para proteger los datos de los clientes. La vulnerabilidad conocida como "Heartbleed", podría permitir potencialmente a un cyberattacker para acceder a un sitio web, de los datos del cliente junto con el tráfico las claves de cifrado. Tras una minuciosa investigación la mayoría de los Servicios de Microsoft no se ven afectados por la vulnerabilidad "Heartbleed".

En Cloudflare admitieron que la vulnerabilidad conocida como HeartBleed es muy grave, sin embargo, pensaban que conseguir la clave privada del servidor sería muy difícil haciendo uso de esta vulnerabilidad. Conseguir esta clave tendría como consecuencia revocar los certificados SSL y volver a crear unos nuevos ya que de lo contrario el atacante podría descifrar todo el tráfico.

La gravedad de la vulnerabilidad Heartbleed ha provocado que innumerables sitios web y servidores aborden la cuestión. Y con razón: un examen llevado a cabo en Github demostró que más de 600 de los 10.000 sitios (basados en el ranking de Alexa ) eran vulnerables . En el momento de la exploración, algunos de los sitios afectados incluían Yahoo , Flickr, OkCupid , la revista Rolling Stone y Ars Technica. Todo esto plantea la siguiente pregunta: ” ¿Están los dispositivos móviles afectados?” La respuesta es sí.

McAfee ha presentado una herramienta gratuita que ayuda a medir fácilmente su susceptibilidad a los efectos potencialmente peligrosos del bug Heartbleed, una vulnerabilidad en OpenSSL que ha puesto en situación de riesgo la información personal de millones de internautas. Al introducir los nombres de dominio en la herramienta Heartbleed Checker, se puede determinar de inmediato si los sitios web que frecuentan se han visto afectados por Heartbleed, comprobando si éstos se han actualizado a la versión de OpenSSL que no es susceptible al fallo.