Si pensabas que tus transacciones en el Web eran seguras, reconsidera tus pensamientos. Esta semana pasada se dio a conocer una vulnerabilidad en OpenSSL, una de las implementaciones del protocolo de seguridad más utilizado en el Internet, que puede revelar más que información confidencial, puede revelar las llaves que la guardan. ¿Cómo es esto posible?
Primero, tenemos que entender que los programadores de los sistemas de seguridad más estrictos son humanos de carne y hueso, tienen familias, conducen autos, comen comida, van al baño y pagan cuentas. En otras palabras, cometen errores. Algunas veces estos errores crean vulnerabilidades pequeñas, otras veces, catastróficas.
¿A quién le afecta? A todo tipo de transacciones seguras que usan la versión de Open SSL afectada. En otras palabras, bancos, sitios de comercio electrónico, procesadores de tarjetas de crédito o casi todo el mundo que hace transacciones en la Web.
En el caso de la vulnerabilidad Heartbleed o Corazón Sangrante, el problema yace en la manera que el protocolo está implementado. Cuando se crea una conexión segura usando SSL, que lo puedes ver cuando estás visitando un sitio que comienza con HTTPS en vez de HTTP, existe una verificación de llaves criptográficas y se crea un túnel seguro. Para mantener este túnel abierto entre tu computadora y el servidor, el protocolo tiene un sistema de latido de corazón o heartbeat que le dice al servidor… estoy aquí, no cierres el túnel todavía. Al hacer esto, envía un paquete con información y el servidor se lo devuelve para confirmar. Los hackers encontraron la manera de enviarle al servidor un paquete con información parcial y el servidor lo que hace es básicamente escupir lo que tiene en la memoria adyacente a ese paquete falso, porque no tiene la capacidad de verificarlo.
En otras palabras, le envío una caja de dulces a alguien que es dueño de una panadería y se supone que me los devuelva, le digo que le envío 64 dulces pero en realidad le envío uno solo. Al abrir la caja para confirmar el panadero piensa que alguien se robó los otros dulces y llena la caja con sus propios dulces y me la devuelve llenita. En el caso de un servidor, estos otros dulces pueden ser palabras claves, llaves privadas para establecer sesiones o túneles cifrados. En otras palabras, todo. Este ataque es indetectable porque parece tráfico normal. Si se trata de bloquear, básicamente se bloquea todo el tráfico cifrado de ese servidor. La mejor parte es que un hacker puede repetir esta información repetidamente hasta que se canse obteniendo todo tipo de información de la memoria del servidor.
Más de medio millón de servidores han reportado la vulnerabilidad Corazón Sangrante y la implementación de este protocolo puede que haya sido parte de más de la mitad de los servidores en el Internet. En otras palabras, catástrofe total.
¿Qué puedes hacer? Como consumidor, no mucho porque esto es algo que tiene que ser resuelto por los proveedores. Lo que si puedes hacer es cambiar tus palabras claves, hacerlo frecuentemente y utilizar tarjetas de crédito para hacer transacciones en línea, de esta manera transfieres el riesgo y todavía puedes aprovechar la conveniencia.
Crea una contraseña segura lo más larga posible como una frase o algo que te sea fácil recordar. Estaesunacontraseñabuenaporqueesbienlarg@
También puedes instalar una extensión para el navegador Chrome llamada Chromebleed que verifica si el sitio que estás visitando ya arregló la vulnerabilidad.
Depués de todo esto. ¿Confías en el Internet para hacer transacciones? ¿Qué piensas?
[…] Origen: Heartbleed o corazon sangrante, como protegerse y como funciona […]