Error de software que compromete la seguridad en internet.

[Lord British]

"Hallan un grave error de software que compromete la seguridad en internet"

El incidente informático ponía al alcance de cualquier "hacker" el acceso a unidades de información privada y protegida alojadas en servidores que usaran OpenSSL

Las compañías de internet se apresuraron a poner un parche a sus sistemas después de que se alertara de un grave error de software en el método de encriptación OpenSSL que ha comprometido seriamente desde 2012 la seguridad de dos tercios de las páginas web existentes.

El fallo, bautizado como "heartbleed", fue localizado por ingenieros de Google y de la empresa de ciberseguridad Codenomicon la semana pasada y el lunes por la noche los responsables de OpenSSL dieron a conocer el problema al tiempo que publicaron una actualización que lo soluciona.

La vulnerabilidad se remonta a la versión OpenSSL 1.0.1 lanzada el 14 de marzo de 2012 y afecta también a la versión 1.0.1f.

Según la página creada para explicar el incidente informático, Heartbleed.com, el error ponía al alcance de cualquier "hacker" el acceso a unidades de información privada y protegida alojadas en servidores que usaran OpenSSL, una codificación de seguridad de uso extendido en internet. "Tu red social, la página web de tu empresa, la de comercio electrónico, la de tus aficiones, la página desde la que instalas un software o incluso páginas gubernamentales podrían haber estado vulnerables a OpenSSL", se indica en Heartbleed.com.

A esa lista hay que añadir correos electrónicos, mensajería instantánea y redes privadas de comunicación (VPN). Yahoo ha anunciado que había puesto un parche a este fallo tras aparecer como una de las páginas que estaban todavía expuestas, según una clasificación elaborada por GitHub en la que también aparecen Eventbrite y Flickr, entre otras.

Google, Facebook, Youtube, Twitter, Blogspot, Amazon, Wordpress y Pinterest, que utilizan SSL, también repararon ya el fallo. No se tiene constancia de que ningún pirata informático se haya dado cuenta de esta debilidad del sistema OpenSSL, si bien un "hacker" podría haber accedido a información sin dejar rastro, según los expertos.

Desde la red de seguridad Tor Project, afectada por el error de software, se advirtió de que el fallo era tan alarmante que recomendó a las personas que "necesiten elevado anonimato y privacidad en internet" que se mantuvieran "alejados de internet totalmente durante los próximos días hasta que las cosas se calmen".



¿Fallo de seguridad o es sencillamente una puerta trasera para que los chicos de la NSA entren dentro de los sistemas sin ser observados?

[jrodriguezv]

Pues hombre, teniendo en cuenta que es de la librería OpenSSL, que es de código abierto y cualquiera puede auditar su código buscando puertas traseras de la NSA o de cualquier agencia, entiendo que en ese caso es un fallo de seguridad.

Chicos, actualizad vuestros servidores

[Joss]

Según he leído hoy en el mundo el bug se conoce desde finales del año pasado, o por lo menos había sido encontrado. Se ha publicado ahora cuando ya había parche para solucionarlo. Estoy con jrodriguezv .... estas cosas pasan .... yo no veo ninguna mano negra ..... Como ahora todo el mundo lo usa para todo (compras, correos, etc.) pues la repercusión es mayor.

[zup]

Explicación no demasiado técnica, pero tampoco alejada de la realidad (en inglés):



(Viene, como no, de xkcd)

[Lord British]

Pues hombre, teniendo en cuenta que es de la librería OpenSSL, que es de código abierto y cualquiera puede auditar su código buscando puertas traseras de la NSA o de cualquier agencia, entiendo que en ese caso es un fallo de seguridad.

Chicos, actualizad vuestros servidores

Mas a mi favor a ser codigo abierto es mas facil que alguien meta un codigo malicioso y no se de nadie cuenta:

"Bloomberg aseguró que la NSA era consciente de la existencia de la vulnerabilidad Heartbleed de OpenSSL, aunque la agencia se apresuró a negarlo"


VAMOS PERO QUE NO SE SALVA NI LINUX PARA TODOS LOS QUE CONFIAIS EN EL.

"Las puertas traseras que la NSA nunca reconocerá:"

"La NSA atesora un curioso historial de supuestas puertas traseras y vulnerabilidades que podría haber aprovechado para realizar sus labores de espionaje masivo. Además de las famosas "habitaciones secretas" en las dependencias de operadores como AT&T donde, supuestamente, se ubica equipamiento de la NSA para interceptar el tráfico de datos de los operadores; se ha comentado que la NSA ha "presionado" a figuras clave como Linus Torvalds (el máximo responsable del kernel de Linux) o como Peter Biddle (responsable de BitLocker, el cifrado de información en sistemas Windows) para que insertasen "puertas traseras" en sus sistemas que permitiesen una eventual intrusión para "facilitar sus actividades".

A raíz de la aparición de Heartbleed, Julian Assange también generó bastante controversia al hablar de los bugs aparecidos en componentes que forman parte de las distribuciones GNU/Linux más utilizadas. Aunque sus palabras se exageraron un poco y fueron matizadas por WikiLeaks; la realidad es que funciones criptográficas como SHA-2 tienen su origen en la NSA y están ampliamente extendidas y, a raíz de los documentos de Edward Snowden, también se habló mucho de la capacidad de la NSA para descifrar comunicaciones bajo SSL y supuestas puertas traseras en AES.

Es público y notorio que la NSA es impulsora del proyecto SE-Linux (Security-Enhanced Linux) para "mejorar la seguridad" de sistemas Linux, que también tiene su traslación a Android y que se ha considerado también como un "proyecto trampa" que podría alojar supuestas puertas traseras de la NSA.

Dentro de la leyenda negra de la NSA también se encuentran algunas "teorías clásicas" como la famosa variable de nombre _NSAKEY descubierta en Windows NT 4 Service Pack 5 en el año 1999 y que, como nos podemos imaginar, armó bastante revuelo por aquel entonces. Andrew Fernandes, un experto en seguridad de Cryptonym, encontró unas "claves sospechosas" que materializaban el rumor de que Windows tenía puertas traseras preparadas para la NSA.

La "teoría de la conspiración" estaba servida en bandeja porque una de las claves encontradas estaba almacenada bajo el nombre "_NSAKEY" y, evidentemente, con un nombre así era normal mirar hacia la Agencia de Seguridad Nacional.

Microsoft negó categóricamente que existiese una puerta trasera, siempre afirmó que el nombre de NSA se debía a que esta agencia era la responsable de verificar el software que se exportaba y, además, otras voces apuntaron a que el hallazgo estaba vinculado a "funciones especiales" de criptografía y seguridad desarrolladas para el uso de Windows dentro del Gobierno de Estados Unidos.

La teoría que apuntaba hacia la puerta trasera, quizás, sea la más conocida puesto que, años antes, en 1997, IBM modificó el cifrado de Lotus Notes para "mejorar su seguridad" y, para conseguirlo, se apoyó en un algoritmo que usaba una clave de cifrado generada por la NSA. Dicho de otra forma, "solamente la NSA" podía descifrar los datos y, como nos podemos imaginar, no todo el mundo se tomó bien esta "facilidad".

La NSA y su relación con el mundo del hardware

El hardware tampoco estaría libre de puertas traseras y como ya publicó Der Spiegel, la NSA habría conseguido implantar backdoors en servidores Dell, en servidores de HP y en firewalls y routers de Cisco y Juniper.

También se ha hablado mucho de "puertas traseras en circuitos integrados", algo que se ha achacado a países como China y que también tiene su reflejo en teorías que miran hacia la NSA. Es un hecho probado que procesadores como los que desarrollan empresas como Intel o AMD disponen de utilidades especiales que permiten a los fabricantes encontrar fallos; un "acceso controlado" que algunas voces apuntan a que la NSA podría haber aprovechado (una afirmación que, incluso, acaba complicando aún más la trama al afirmar que las puertas traseras contarían con el visto bueno de los fabricantes).

Los fabricantes de chips niegan su relación con la NSA pero la agencia sigue alimentando su mito."

[jrodriguezv]

Yo creo que ha quedado claro que Heartbleed fue un error de un programador alemán que suele colaborar en software libre.

Lo bueno del software libre es que cualquiera puede auditar el código en cualquier momento, lo que es mucho más seguro que el software privativo, ya que ahí es imposible auditar código. Es más, si algo no te gusta del software libre, siempre puedes recompilarlo y cambiarlo.

[robcfg]

Hace ya dias que se actualizaron los paquetes openssl en Linux.

Tanto el software libre como el cerrado, tienen sus ventajas e inconvenientes. Cada cual que elija su veneno

[Luna]

Hace años que todo lo sensible lo tengo en ordenadores que nunca ven internet... Meteos ahí Jakers que me da la risa...

[Lord British]

Hace años que todo lo sensible lo tengo en ordenadores que nunca ven internet... Meteos ahí Jakers que me da la risa...

Yo no tengo nada sensible (Informaticamente hablando), pero haria lo mismo que tu.

[JoJo]

Unos cuantos datos que no se suelen comentar cuando se habla de Heartbleed:

El dia 8 de abril terminaba el soporte de windows xp. El sistema operativo que usan mayoritariamente las administraciones de la mayoria de paises del mundo, los cuales, viendo los costes de migrar a los sistemas mas modernos de microsoft, estaban planteandose migrar a linux. *

Curiosamente, el dia antes se anuncia un gran fallo de seguridad en el ssl de todos los linux modernos.... y mucho mas curioso tambien, el anuncio se hace desde una empresa liderada por el antiguo jefe de seguridad informatica de Microsoft, una persona cuyo objetivo era 'batir a linux en cuanto a seguridad'.

Teniendo todos estos antecedentes en cuenta, y viendo que ya en el pasado organismos como la NSA han intentado colar puertas traseras en el codigo de linux para sus propios intereses... pues como que la cosa deja poco lugar a dudas.

Blanco y en botella, es leche.

* Aqui en españa no tendremos ningun problema. Nuestro gobierno ha decidido migrar la administracion completa a windows 8.1, porque para que dejar de usar un SO que no va a tener soporte cuando podemos migrar a la version actual del mismo, cambiando tambien todo el parque de hardware, ya que el actual es insuficiente para los requerimientos del nuevo sistema?

Si vamos sobrados de dinero...