Cómo solucionar Heartbleed

heartbleedEn primer lugar, queremos mencionar para tu tranquilidad, que todos los servidores de hosting compartidos y revendedores de NEOLO.COM ya han sido parcheados (curados) y no presentan este fallo. Para todos los demás, usuarios de NEOLO.COM o no, hemos creado la siguiente herramienta online para ayudarte a determinar si tu sitio web es o no vulnerable y qué acción tienes que tomar, si es necesario: http://heartbleed.neolo.com

Ahora bien, ¿de qué se trata la vulnerabilidad de Heartbleed? Técnicamente hablando, es una seria falla en una de las librerías más populares de SSL: OpenSSL. Utilizada por más del 17% de todo Internet según Netcraft. Es una de las vulnerabilidades más serias que han aparecido en la historia de Internet.

La falla permite conseguir las claves privadas SSL de un servidor y acceder a contenidos sensibles y privados.

Según heartbleed.com:

“La vulnerabilidad de Heartbleed le permite a cualquiera en Internet leer la memoria de los sistemas protegidos por las versiones vulnerables del software OpenSSL. Esto compromete las claves secretas utilizadas para identificar los servicios y encriptar el tráfico, los nombres y las contraseñas de los usuarios del sistema. Esto le permite a cualquier atacante escuchar a escondidas las comunicaciones, robar datos directamente de los servicios, entre otras cuestiones.”

El nombre deviene de “heartbeat”, que es simplemente una pulsación, un paquete de información enviado desde una computadora a otra para asegurarse que la conexión realmente existe. Esta funcionalidad es la que permite que el ataque ocurra, el heartbeat puede ser simulado por un atacante permitiendo acceso a la memoria del servidor y obtener información sensible.

Esto se traduce en que un atacante puede acceder de manera intrackeable a información sensible como usuarios, contraseñas, datos de tarjetas de crédito, etc.

Alguno de los sitios vulnerables fueron: Twitter, Yahoo, Github, Tumblr, Dropbox, entre otros millones de sitios web.

Recomendaciones:

  1. Actualizá las contraseñas de todos los servicios web que utilices, inclusive las de home banking, blogs y emails. Siempre es una buena práctica modificar periódicamente las contraseñas.
  2. Compartí este artículo con tus técnicos amigos para que estén al tanto de la situación.

Versiones vulnerables de OpenSSL:

OpenSSL 1.0.1 hasta 1.0.1f (inclusive) son vulnerables
OpenSSL 1.0.1g no es vulnerable
OpenSSL 1.0.0 branch no es vulnerable
OpenSSL 0.9.8 branch no es vulnerable

Para más información te recomendamos continuar leyendo los siguientes artículos:

  • Herramienta online por NEOLO.COM para detectar si un sitio web es vulnerable a Heartbleed
  • En Wikipedia siguen actualizando la entrada con novedades
  • Sitio oficial con preguntas frecuentes de Heartbleed
  • CVE de Heartbleed

Y por último, una brillante explicación gráfica por el gran comic XKCD :)

heartbleed_explanation

 

 

Aprovechamos para comentarte que lanzamos el código “heartbleed” para nuevas compras en NEOLO.COM, logarás un 10% OFF además de estar hosteado en un servidor web seguro contra Heartbleed.

Deja un comentario

Tu dirección de correo electrónico no será publicada.