Heartbleed el mayor fallo de seguridad de la historia de Internet: qué es y qué hacer para asegurar WordPress

Log4j_format_msg_no_lookups

En derecho no solemos saber quién es el culpable de un error. Con Heartbleed sabemos exactamente quién cometió el error. Fue un programador alemán, Robin Seggelmann, que en aquel momento era estudiante de doctorado.  Suponiendo que esté diciendo la verdad, que este error fue una equivocación y no un acto intencionado de sabotaje, Segglemann tiene ahora, al parecer, la dudosa distinción de haber cometido el mayor error de programación informática de la historia. Algunos periodistas llaman a Seggelmann el hombre que rompió Internet. Es una exageración, pero no se me ocurre ningún error de programación que haya tenido mayor repercusión.

Bruce Schneier, un destacado analista de seguridad digital al que sigo, dice que “‘Catastrófico’ es la palabra correcta. En la escala del uno al diez, esto es un once”. Brean, How a programmer’s small error created Heartbleed – a secret back door to supposedly secure sites (National Post, 4/11/14). Para más información sobre las opiniones de Schneir sobre Heartbleed, véase la entrevista que le hizo Scott Berinato en Harvard Business Review.

Rusty Foster escribió en The New Yorker que:  “En el peor de los casos, las empresas criminales, las agencias de inteligencia y los hackers patrocinados por el Estado conocen Heartbleed desde hace más de dos años y lo han utilizado para acceder sistemáticamente a los datos cifrados de casi todo el mundo. Si esto es cierto, cualquiera que haga algo en Internet probablemente se haya visto afectado por el fallo”.  El columnista de ciberseguridad de Forbes Joseph Steinberg escribió: “Algunos podrían argumentar que [Heartbleed] es la peor vulnerabilidad encontrada (al menos en términos de su impacto potencial) desde que el tráfico comercial comenzó a fluir en Internet.”

  Cómo activar o desactivar la pantalla completa del editor de bloques de WordPress

¿Qué tipo de fallo de seguridad es el error Heartbleed?

Heartbleed es una vulnerabilidad en algunas implementaciones de OpenSSL. La vulnerabilidad, que se conoce más formalmente como CVE-2014-0160, permite a un atacante leer hasta 64 kilobytes de memoria por ataque en cualquier cliente o servidor conectado.

¿Qué se ha visto afectado por Heartbleed?

¿Cuál es el impacto de Heartbleed? El fallo Heartbleed permite a cualquier persona en Internet leer la memoria de los sistemas protegidos por las versiones vulnerables del software OpenSSL.

¿Cómo solucionaron el fallo Heartbleed?

La solución a Heartbleed

1g de la biblioteca OpenSSL, publicada el 8 de abril de 2014, y también se incluyó en todas las versiones posteriores del software. Puede solucionar la vulnerabilidad Heartbleed actualizando a la última versión de OpenSSL, y puede encontrar enlaces a todo el código más reciente en el sitio web de OpenSSL.

Problema de seguridad de Log4j

HeartBleed nos acompañará durante añosDe hecho, es posible que ya lo haya hecho, teniendo en cuenta que supone una opción nuclear para los piratas informáticos. Tras la noticia, los proveedores de seguridad informática han lanzado en masa consejos y herramientas para ayudar a los consumidores a combatir las consecuencias.

Como señala McAfee en su blog, Heartbleed no es un virus, sino un error en OpenSSL, un estándar de seguridad que cifra las comunicaciones entre los usuarios y los servidores de la mayoría de los servicios en línea. El error hace viable que los piratas informáticos extraigan datos de bases de datos masivas que contienen nombres de usuario, contraseñas, datos privados, etc.

Para que SSL funcione para proteger las comunicaciones entre un usuario y un sitio web, el ordenador necesita establecer un enlace con el servidor web. La máquina final enviará un “heartbeat”, que es un ping para asegurarse de que un servidor está en línea. Si lo está, envía un latido de vuelta y se crea una conexión segura.

  Cómo y por qué deberías migrar de Magento a WooCommerce

El fallo HeartBleed estropea el acuerdo interponiéndose en medio de esa comunicación para enviar una señal maliciosa de heartbeat a los servidores. A continuación, se engaña al servidor para que devuelva una parte aleatoria de su memoria al usuario que envió el latido malicioso, que probablemente contenga direcciones de correo electrónico, nombres de usuario y contraseñas, es decir, todo lo que alguien necesita para acceder a cuentas y/o montar expediciones de phishing a través de spam. En algunos casos, la información devuelta podrían ser las claves del propio servidor, lo que comprometería franjas enteras de Internet.

Cvss

Como algunos de ustedes ya saben, hace dos días se anunció una importante vulnerabilidad en algunas versiones de las bibliotecas de software OpenSSL. Recibió el elegante nombre de “HeartBleed” y, en pocas palabras, permite a cualquier persona en Internet leer la memoria del servidor protegido por las versiones vulnerables del software OpenSSL y secuestrar su clave privada SSL. La información interesante es que no todas las versiones antiguas del software están afectadas y hay algunas más antiguas y otras más recientes que lo tienen.

Sin embargo, como nos gusta ser extra precavidos, hemos decidido tomar algunas medidas extra para garantizar tu comodidad y seguridad. Resulta que el software OpenSSL actualizado no le protegerá si, por ejemplo, la clave privada de su certificado ya ha sido robada por piratas informáticos. NO tenemos conocimiento de ningún caso de este tipo en nuestros servidores, sin embargo, como nos tomamos la seguridad muy en serio, decidimos volver a emitir con nuevas claves privadas todos los certificados que estaban instalados en los servidores con versiones de bibliotecas OpenSSL anteriormente vulnerables.

Hemos esperado a que nuestro proveedor de SSL nos confirmara que también había parcheado su software contra la misma vulnerabilidad para poder empezar la reemisión. Esto se ha confirmado hoy y ya hemos empezado a reemitir los SSL.

  Cómo optimizar y acelerar una web hecha con Avada … sin plugins ni códigos

Cwe

¿Qué es Heartbleed? Heartbleed es una vulnerabilidad en OpenSSL que salió a la luz en abril de 2014; estaba presente en miles de servidores web, incluidos los que ejecutan sitios importantes como Yahoo.OpenSSL es una biblioteca de código abierto que implementa los protocolos Transport Layer Security (TLS) y Secure Sockets Layer (SSL). Los estándares TLS/SSL son cruciales para el cifrado web moderno y, aunque el fallo estaba en la implementación de OpenSSL más que en los estándares en sí, OpenSSL se utiliza tan ampliamente -cuando se hizo público el fallo, afectaba al 17% de todos los servidores SSL- que precipitó una crisis de seguridad.