|
|
|
 |  |  |
|
|
| |
|
|
 Un grave fallo amenaza las comunicaciones seguras en Internet |
10/04/2014
|
 Lo han bautizado 'The Heartbleed Bug' (el agujero del corazn desangrado) y afecta a casi todo lo que viaja cifrado en Internet: accesos seguros a webs para comprar o hacer gestiones con la administracin, contraseas y nmeros de tarjeta de crdito almacenados en grandes y pequeos negocios de la red, correo electrnico y mensajera en lnea con conexiones securizadas, "cookies" que almacenen informacin confidencial, redes privadas virtuales.
Todo es susceptible de ser descifrado por un hipottico atacante que, para colmo, no dejar ningn rastro en los ordenadores atacados. Es el fallo informtico del ao, quizs de la dcada, y muy posiblemente tardar en ser solucionado, pues afecta a millones de servidores.
El Proyecto OpenSSL hizo pblico el lunes un comunicado que metafricamente par el corazn a muchos administradores de sistemas: avisaba de un grave fallo en las versiones 1.0.1 y 1.0.1f de OpenSSL, un paquete de herramientas y bibliotecas que utilizan dos terceras partes de los servidores de Internet, para cifrar sus comunicaciones y contenidos.
El agujero est en el cdigo de OpenSSL desde diciembre de 2011. Neel Mehta, del equipo de seguridad de Google, lo habra descubierto en diciembre de 2013, fecha de la inclusin del "bug" en la base de datos 'Common Vulnerabilities and Exposures'.
El consultor independiente de seguridad Jess Cea considera lgico que se hayan tardado tres meses en anunciar al mundo el descubrimiento de Mehta, "para dar tiempo a los sistemas operativos y principales servicios afectados a crear los correspondientes parches". Efectivamente, el 7 de abril, cuando el Proyecto OpenSSL dio a conocer el agujero, los sistemas afectados ya tenan la solucin a punto. Tambin algunos grandes servicios de la red haban corregido el fallo antes de esa fecha.
El 'Heartbleed Bug' reside en una extensin del protocolo Transport Layer Security (TLS) de OpenSSL llamada 'Heartbeat' (latido de corazn). Un atacante puede interrogarla repetidamente y esta respondera mandndole las claves privadas con las que el sitio cifra su informacin y comunicaciones. Curiosamente, a finales de febrero se descubri un problema parecido en el protocolo TLS de Apple, que afectaba a la validacin de sus certificados. Y una semana despus caa GNU TLS, otro sistema seguro para cdigo libre.
Pero ninguno es tan usado como OpenSSL. Los expertos en seguridad no dudan en avisar de la seriedad de este agujero: "Estamos ante una de las vulnerabilidades ms graves (opinin personal) de los ltimos aos. Y no slo vulnerabilidad, la explotacin tiene efectos que sinceramente, tras verlos, asustan", afirma Jos A. Guasch en el blog 'Security by Default'. Paradjicamente, el fallo se ha descubierto en un producto destinado a dar seguridad a las comunicaciones y contenidos, lo que hace ms grave el problema.
"Lo hemos probado en nuestros propios servicios desde la perspectiva de un atacante. Nos hemos atacado a nosotros mismos desde el exterior sin dejar rastro. Sin tener que usar ninguna informacin privilegiada ni credenciales, hemos podido robarnos las claves secretas de nuestros certificados, nombres y contraseas de nuestros usuarios, mensajera instantnea, correo electrnico y documentos y comunicaciones crticas para el negocio", afirman en la pgina de informacin oficial 'Heartbleed Bug'. Se desconoce la cantidad de sitios afectados pero Yahoo! habra estado entre ellos todo el da del martes.
La solucin a este monumental lo es complicada, pues no sirve slo instalar una nueva versin de OpenSSL sin el fallo. Al ser un ataque que no deja rastro, nadie sabe de forma fehaciente si su sitio ha sido comprometido. Aunque actualice su OpenSSL, sus claves, contraseas y certificados pueden estar en manos de atacantes que las seguiran usando impunemente. As que toca revocar claves, cambiar contraseas y crear nuevos certificados. Algo que puede costar mucho tiempo y dinero, pues los certificados para comunicaciones seguras en Internet los crean unos negocios especficos llamados Autoridades de Certificacin que, ante un desastre de esta magnitud, pueden decidir renovar los certificados de sus clientes gratuitamente... o no.
En la pgina oficial del 'bug' no dejan de repetir que es algo "muy serio" y que cualquiera puede verse afectado directa o indirectamente: "OpenSSL es la libera criptogrfica de cdigo abierto ms popular y la ms usada para cifrar el trfico de Internet. Su red social, el sitio web de su empresa, el sitio donde compra, se divierte o donde descarga sus programas, incluso los sitios web de su gobierno pueden estar usando OpenSSL vulnerable. La mayora de servicios en lnea lo usan para identificarse ante usted y proteger su privacidad y transacciones. Posiblemente e haya conectado a aparatos con sistemas de acceso securizados mediante este sistema. O incluso puede tener programas en su ordenador que pueden exponer sus datos si se conecta a servicios comprometidos".
Los responsables del Proyecto OpenSSL son un pequeo equipo de programadores voluntarios. El criptgrafo Matthew Green avisa en su blog que las iras no deben caer sobre ellos, pues "mantienen la librera de comunicaciones cifradas ms importante del mundo, es un trabajo duro y no remunerado que implica coger el cdigo que aportan otras personas, como en el caso de Heartbeat, y revisarlo de la mejor forma posible". Green asegura: "Quizs, mientras estn parcheando su servidores, algunas de esas grandes compaas que usan OpenSSL pensarn en mandarles algo de financiacin sin condiciones, para que puedan seguir haciendo su trabajo".
(Elmundo.es)
|
|
|
Telefnica acelera los trmites para la futura integracin de E-Plus |
16/04/2014 |
 |
|
Telefnica ya se est moviendo para ejecutar la compra de E-Plus, filial alemana de KPN, una vez que reciba el permiso de las autoridades de la competencia de la Comisin Europea. De momento, el orden...
|
|
|
|
|
Un mejor futuro para las clulas solares de concentracin |
16/04/2014 |
|
|
El coste de los productos tecnolgicamente avanzados disminuye drsticamente con el nmero de unidades producidas, lo que dificulta que las nuevas tecnologas desbanquen a las viejas. Los paneles solares...
|
|
|
|
|
Google quiere lentes de contacto con cmara |
16/04/2014 |
|
|
Google ha patentado un nuevo sistema que permitira insertar una micro cmara, adems de una batera que permita su funcionamiento, en lentes de contacto para poder realizar fotografas de lo que ve el...
|
|
|
|
|
Google adquiere el fabricante de drones Titan Aerospace |
15/04/2014 |
|
|
La compaa estadounidense Google ha llegado a un acuerdo para adquirir el fabricante de drones Titan Aerospace por una cantidad que la compaa no ha desvelado, segn recoge el diario The Wall Street...
|
|
|
|
|
El 44% de los perfiles de Twitter nunca ha publicado un tuit |
15/04/2014 |
|
|
El 44% de los cerca de 974 millones de perfiles registrados en Twitter no ha publicado nunca un tuit, segn una investigacin efectuada por Twopcharts, un portal que analiza la actividad de esta red social,...
|
|
|
|
|
La tecnologa 3D se hace sitio en Espaa |
15/04/2014 |
|
|
El sector de la impresin 3D que permite realizar copias de objetos en tres dimensiones, tendr un importante centro en Espaa ya que HP ha anunciado que en su centro mundial de impresin de Barcelona,...
|
|
|
|
|
El Gobierno dar ayudas a la I+D para la industria del videojuego |
15/04/2014 |
|
|
La Asociacin Espaola de Distribuidores y Editores de Software de Entretenimiento (Adese) ha desaparecido en favor de la nueva Asociacin Espaola de Videojuegos (AEVI), con una finalidad clara: representar...
|
|
|
|
|
BBVA busca talento en Europa, Norteamrica y Latinoamrica |
10/04/2014 |
|
|
Gustavo Vinacua, director de los Centros de Innovacin y de Open Innovation de BBVA, defendi ayer que la apuesta del banco por invertir en proyectos emprendedores forma ya parte de la estrategia de innovacin...
|
|
|
|
|
Un grave fallo amenaza las comunicaciones seguras en Internet |
10/04/2014 |
|
|
Lo han bautizado 'The Heartbleed Bug' (el agujero del corazn desangrado) y afecta a casi todo lo que viaja cifrado en Internet: accesos seguros a webs para comprar o hacer gestiones con la administracin,...
|
|
|
|
|
Qu hacer si nuestro hijo es adicto al mvil y no hay quien se lo despegue de la oreja |
10/04/2014 |
|
|
En Espaa existen 56 millones de terminales, de ellos, 22 millones son Smartphones. El 53% de los espaoles son adictos al telfono mvil, segn el Centro de Estudios Especializados en Trastornos de la...
|
|
|
|
|
|
|
|
|
