21 abr. 2014

7 Mitos sobre #Heartbleed al desnudo

La gente está en vilo debido a Heartbleed, un error de programación que inadvertidamente arrasó con la seguridad de muchos servicios de Internet.

La revelación de esta semana sorprendió al mundo. Y los nuevos informes que llegan sobre Heartbleed solo parecen inspirar más preocupaciones, no menos. El desafortunado resultado es la circulación de una gran cantidad de información errónea.

¿Quiere unirse conmigo en una pequeña sesión de descrédito? Estos son algunos de los destacados que escuche esta semana, y por que no son ciertos.

Mito 1: Heartbleed es un virus

Esta falla de OpenSSL no es un virus. Es una falla, un simple error de programación en el protocolo de código abierto (open source) usado por muchos sitios web y otros servidores.

Cuando funciona como debería, OpenSSL ayuda a asegurar que las comunicaciones por red estén protegidas de ser espiadas. (Un indicador que un sitio web puede estar usándolo es cuando hay un "HTTPS" en la dirección web). Así que es una falla, un agujero de seguridad que quedó abierto accidentalmente, permitiendo a otros vigilar una comunicación o un evento de login, así como también obtener información confidencial o extraer otros registros.

Mito 2: La falla solo afecta a sitios web

Las potenciales brechas de seguridad para servidores y ruteadores son cuestiones masivas, ya que permiten la fuga de grandes volúmenes de información. Y así, los sitios web, servicios en línea y servidores de red tienden a captar la mayor atención de la prensa. Pero no son los únicos objetivos posibles.

Los clientes que se comunican con los servidores -es decir, sus móviles, ordenadores portátiles y otros dispositivos utilizados para conectarse a Internet o conectarse a otras redes- están en riesgo también debido a lo que cada vez más está siendo llamado "Heartbleed reverso". Lo que esto significa es que los datos almacenados en la memoria de los dispositivos podrían estar en juego.

"Por lo general en el cliente, la memoria se asigna sólo al proceso que se está ejecutando. Así que uno no necesariamente consigue acceso a todos los procesos", dijo a ReadWrite David Chartier, CEO de Codenomicon - la empresa de seguridad finlandesa que co-descubrió Heartbleed. "[Pero] aún puede filtrarse contenido de correos electrónicos, documentos e inicios de sesión".

La idea de acceso a cuentas no autorizadas y ajustes de sistema puede ser especialmente desconcertante para los usuarios domésticos inteligentes. Me acerqué a nuevas empresas como SmartThings y Revolv, así como Zonoff - la empresa que lleva el sistema smart home Connect de Staples- e iControl, que suministra la tecnología para los servicios como Time Warner Cable, ADT, Comcast, Cox, Rogers y otros.

SmartThings y Revolv ambos han parcheado el error mediante la actualización de su software a la última versión de OpenSSL. iControl me informó que no utiliza OpenSSL. Al cierre de esta edición, Zonoff no estaba disponible para hacer comentarios.

Actualización: Zonoff también utiliza OpenSSL, pero la empresa confirmó a ReadWrite que ha actualizado los servidores afectados con el software más reciente, parchando así la vulnerabilidad.

Mito 3: Los Hackers pueden usarla para tomar control remoto de sus teléfonos

Según todos los indicios hasta el momento, un hacker no pueden crear un túnel directamente utilizando Heartbleed y tomar el control de su smartphone. De nuevo, lo que está en juego son los datos almacenados en su memoria, al menos para aquellos dispositivos que no han sido convenientemente actualizados con la última versión de OpenSSL.

Incluso si fuera posible, los iPhones y Androids en su mayoría, son inmunes a Heartbleed, con una gran excepción - Android 4.1.1. Google, sin embargo, dice que saldrán parches para cubrir esta versión de su sistema operativo móvil. En general, el hecho de que iOS y Android sean en gran parte no afectados debe ser un alivio, especialmente teniendo en cuenta los últimos problemas de seguridad de iOS en otros frentes.

Por supuesto, las aplicaciones que se ejecutan en estos teléfonos pueden ser otra historia. BlackBerry reconoció que BBM para iOS y Android, por ejemplo, es vulnerable a Heartbleed. Los atacantes todavía no serían capaces de entrar en la memoria del dispositivo en sí que lo usa, pero podrían ser capaces de escuchar las charlas inseguras en curso.
Actualización: Blackberry dice que está preparando una actualización de BBM para solucionar Heartbleed.

Mito 4: Los usuarios de Windows XP están jodidos porque Microsoft los abandonó

Totalmente falso. Claro, la coincidencia en el tiempo es mala. Microsoft dijo que dejará de dar soporte a Windows XP juato cuando el pánico de Heartbleed circula por todo el mundo. Sin embargo, esta compañía de tecnología no utiliza OpenSSL.

Eso es una gran noticia para la cantidad de PCs por ahí que todavía utilizan el sistema operativo Windows de 14 años de edad, el cual, al cierre de esta edición, forma más de una cuarta parte de todos los escritorios en ejecución. Porque si les afectara, estarían varados con Heartbleed sin esperanza de una actualización de seguridad.

La gente que usa XP, de hecho todos los usuarios de Windows, usan el propio componente de cifrado de la compañía llamado Secure Channel (conocido como SChannel), y no es susceptible de esta falla particular. Sin embargo, vale la pena señalar que los usuarios de XP no obtendrán ningún soporte de software adicional o actualizaciones tampoco para SChannel.

Las excepciones son los usuarios de Windows Azure que ejecutan Linux en servicio en la nube de Microsoft. Estas distribuciones se basan en OpenSSL, por lo que Microsoft insta a estos usuarios a ponerse en contacto con los proveedores para obtener el software actualizado. En cuanto a Mac OS X, Apple ha declarado oficialmente que no es vulnerable a Heartbleed

Mito 5: Todos nuestros bancos está expuestos a Heartbleeding

La falla de seguridad es grave, pero no puede forzar la apertura de las bóvedas virtuales en nuestros principales bancos. De hecho, American Banker, un sitio de noticias de tecnología de bancos, informa que no hay grandes bancos que sean  afectados.

Todas estas empresas han anunciado que no usan OpenSSL, por lo que no están en riesgo:
  • Bank of America
  • Capital One Financial
  • JPMorgan Chase
  • Citigroup
  • Banco TD
  • EE.UU. Bancorp
  • Wells Fargo
  • PNC Financial Services Group
Por supuesto, hay muchos más bancos y cooperativas de crédito por ahí, por lo que el Consejo de Instituciones Financieras Examen Federal (FFIEC) instó "a las instituciones financieras a que incorporen parches en los sistemas y servicios, aplicaciones y dispositivos que utilizan OpenSSL y actualizar los sistemas lo antes posible para solucionar la vulnerabilidad".

Por otra parte, la verificación de CNET de sitios web de alto trafico muestra que PayPal no es vulnerable a Heartbleed tampoco. Tampoco son estos grandes minoristas, donde la gente puede almacenar información de tarjetas de débito o de crédito :
  • Amazon.com
  • eBay
  • Groupon
  • Target
  • TripAdvisor
  • Walmart
Parece que Target aprendió una cosa o dos de su violación de seguridad a finales del año pasado.

Así que no, la falla Heartbleed no abrió las puertas de estos bancos y grandes tiendas, al menos no directamente. Sin embargo, sólo porque estos sitios y cuentas no están sujetas a este ataque, eso no quiere decir que los datos esten completamente seguros. (Ver más abajo)

Mito 6: Mi Sitio/Servicio ____ no estaba en riesgo o aplicaron el parche, ahora estoy seguro.

No del todo. Heartbleed es insidiosa porque no deja rastro. Eso significa que no hay manera de saber si su información fue robadz previamente de un sitio o servicio que ahora se ha arreglado.

En cuanto a los lugares que no eran vulnerables, para empezar, sus cuentas aún pueden estar en riesgo, si esa información de inicio de sesión se almacena o se envía en alguna parte que fue violada.

Esto es lo que se reduce a: Usted querrá cambiar las contraseñas en todas partes, excepto en los sitios o servicios que no han parcheado el agujero aún afectados. Pero asegúrese de hacerlo una vez que han actualizado el software. Usted también querrá verificar su crédito, estados de cuenta y la actividad en línea para asegurarse de que no aparezcan movimientos no autorizados.

Mito 7: La NSA ha estado usando Heartbleed para espiarnos

Citando fuentes anónimas, Bloomberg acusó a la Agencia de Seguridad Nacional de conocer Heartbleed y mantenerlo oculto. Pero eso no es todo. La agencia no era simplemente consciente del error, dice el informe- que supuestamente se aprovechó de la falla por dos años y lo utilizó para espiar a los estadounidenses.

A la luz de las revelaciones de PRISM, es muy fácil de creer todo esto. Incluso antes de la acusación de Bloomberg, ran muchas las sospechas que la NSA estaba involucrada, con un montón de tweets que inundaron Twitter cuestionando que estaba en conocimiento de la agencia. Era como si un coro de "por supuesto, la NSA está involucrada" sonara en toda la Web.

Pero la NSA lo niega rotundamente. La agencia dijo que no usó el agujero en la seguridad, de hecho afirma que ignoraba por completo la existencia del fallo antes que fuera anunciado.

No hay manera de saber si la NSA está siendo honesta con su negación; la credibilidad de la agencia no está exactamente en punto alto. Pero no hay pruebas sólidas de que ha explotado realmente Heartbleed para la vigilancia. Así que por ahora, de todos modos, queda en la columna de "mito".

Es difícil imaginar a cualquier autoridad o agencia federal de no ser consciente de tal grave falla de seguridad que afecte a tantas personas. Pero no es totalmente imposible. Pregúntale a la Agencia de Ingresos de Canadá. Esa oficina del gobierno, que también utiliza OpenSSL, tuvo que cerrar temporalmente partes de su sitio web debido a que se encontró con que era vulnerable a Heartbleed. Justo semanas antes de la fecha límite de presentación de declaraciones de impuestos en Canadá.

¿Has oído hablar de algun mito o falsedad acerca de Heartbleed? Dejalo en los comentarios, para que podamos develarlo.

Traducción: Raúl Batista - Segu-Info
Autor: Adriana Lee
Fuente: ReadWrite

2 comentarios:

  1. Y no sólo es necesario parchear OpenSSL (versiones vulnerables: de la 1.0.1 a la 1.01f, ambas inclusive. La rama 0.9.8 no es vulnerable), hay que reiniciar todos los servicios que hagan uso de OpenSSL para que se carguen las nuevas librerías (si no, los procesos siguen utilizando las vulnerables) y verificar aquel software de terceros que haga uso local de dichas librerías (por ejemplo, WinSCP)

    ResponderEliminar
  2. Excelente información, gracias por compartirla.
    En resumen?.... debemos buscar y aplicar los últimos parches constantemente de nuestros servicios principales para minimizarlo? o no es suficiente, otras medidas?

    ResponderEliminar

Gracias por dejar un comentario en Segu-Info
Si vas a dejar una consulta, procura tener habilitado tu perfil en Blogger o deja una forma de contacto.

Gracias por comentar!