admin

Categorías

Coobis

Open SSL

Desmitificando Heartbleed

Publicado 2014/04/16 | Por Rafael Barzanallana

Los últimos días, incluso algunos mensajes empiezan a rectificar y corregir que quien en principio se pensaba que estaba afectado, en realidad no lo estaba . Y por supuesto… aparecen varias listas  de sitios afectados .

En INTECO , también han seguido de cerca la información sobre ésta que, dada la importancia del fallo, exigía una especial atención y esfuerzo. Publicaron dos avisos de seguridad relacionados con el mismo:

A nivel de investigación, parecía imprescindible conocer más sobre el fallo, probar en el laboratorio a extraer de la memoria esos datos “jugosos”, aunque tan solo se tratara de una porción pequeña y aleatoria de la misma (64kb).

Así, en las pruebas que hAN hecho se ha encontrado que en realidad muchos servicios en internet e intranets realmente no están afectados.

Uno de los motivos es que productos de la familia Microsoft no son vulnerables  ya que utilizan sus propias librerías de SSL. Y no sólo eso, si no que muchos sistemas utilizan versiones de la librería OpenSSL anteriores y, por tanto, no adolecen del fallo  identificado.

A nivel estadístico, y gracias a la colaboración con Red.es  en materia de seguridad de dominios .es, el análisis realizado sí permite aportar algunos datos (bastante alejados de los dos tercios de dominios ):

    • De los dominios .es activos a fecha de 16 de Marzo sólo el 0,42% utilizaban librerías OpenSSL potencialmente vulnerables

    • A nivel de direcciones Web (<dominio>.es, o www.<dominio>.es, y las redirecciones existentes de dominios .es) los porcentajes de servicios potencialmente vulnerables bajo dichos dominios son:

Esta sería la información puramente estadística obtenida a partir de las versiones utilizadas en los servicios.

Fuente:  INTECO

alquiler carrozas gran canaria
Trasteros Las Palmas

Publicado en Criptografía, Seguridad | Etiquetado , | Deja un comentario

Qué es Heartbleed y cómo afecta a la seguridad

Publicado 2014/04/11 | Por Rafael Barzanallana

Actualidad Informática. Qué es Heartbleed y cómo afecta a la seguridad. Rafael BarzanallanaDesde hace unos días internet se ha llenado de personas discutiendo un mismo tema: la seguridad en la red. Puede que hayas escuchado sobre esto,  y tal vez  Heartbleed y OpenSSL se te hacen dos términos muy extraños.

Qué es Heartbleed, cómo te afecta, y por qué deberías cambiar tus contraseñas

Uno de los fallos de seguridad más graves que han afectado a internet en su historia, se trata de Heartbleed. Te explicamos qué es, por qué todos podemos estar afectados, y que medidas puedes tomar como usuario, para protegerte.

¿Qué es OpenSSL?

OpenSSL es una de las bibliotecas de criptografía más usadas en servidores web, y es un proyecto open source. Muchos sitios web  de los que ofrecen conexiones seguras con SSL se apoyan en la biblioteca de código abierto. El icono con un candado que aparece en la barra de direcciones, o a las siglas HTTPS de los navegadores, ambos son símbolos de que estamos accediendo a un sitio seguro, y que el intercambio de datos que hacemos, está siendo cifrado. Imprescindible en la banca electrónica por mencionar un ejemplo obvio. Pero usado en el correo electrónico, redes sociales, y hasta un simple blog.

¿Qué es Heartbleed?

Heartbleed es una vulnerabilidad bastante seria que fue descubierta en OpenSSL. Este fallo, puede permitir que la información protegida por los métodos de cifrado SSL/TLS pueda ser robada. El bug Heartbleed deja que cualquiera pueda leer la memoria de los sistemas protegidos por la versión de OpenSSL que fue afectada.

Heartbleed compromete las claves de seguridad secretas que se usan para cifrar el tráfico de los usuarios, los nombres de usuarios, las contraseñas, y el contenido que se transmite. Se han visto afectadas múltiples webs, email, mensajería instantánea y hasta algunas VPNs.

La solución: cambiar las contraseñas

Puedes utilizar el Heartbleed Bug Cheker para comprobar si un sitio ha sido afectado por la vulnerabilidad. Si recibes un mensaje de error es probable que el sito no use SSL. De resto, no deberían haber falsos positivos. También puedes usar la herramienta de comprobación de LastPass.

En Mashable han publicado una lista con algunos de los sitios web más populares, respondiendo si han sido afectados, si han parcheado sus sistemas, si necesitas cambiar tu contraseña en estos sitios, y que dijo la empresa respecto al problema. Muy recomendado que pasemos a leerla.

Fuente:  Bitelia
Licencia CC

Related Posts with Thumbnails
Publicado en Criptografía, Seguridad | Etiquetado , , | Deja un comentario

Calendario

noviembre 2024
L M X J V S D
« Nov    
 123
45678910
11121314151617
18192021222324
252627282930  

Spam

Otros enlaces

  • Enlaces

    Este blog no tiene ninguna relación con ellos, ni los recomienda.


    • Mi página de apuntes en la Universidad de Murcia | Mi página personal | Escepticismo

    Rafael Menéndez-Barzanallana Asensio
    Paperblog

    autobus las palmas aeropuerto cetona de frambuesa

    Diseñado por KHK & BMH.