// la página de web que visita puede estar vulnerable al “Heartbleed Bug” (y como averiguarlo)

Pobre Internet, esta no es su semana, ya que ha recibido la no grata noticia de que un gran porciento de páginas de web son vulnerables a ataques gracias a una debilidad que se encontró en OpenSSL. Conocido como el “Heartbleed Bug”, esta vulnerabilidad está relacionada a la librería de criptografía que se utiliza en los servicios de OpenSSL, permitiendo a cualquier persona malintencionada poder robar información “protegida” que se esté trasmitiendo mediante este método.

Sin entrar en los temas profundos de la criptografía (no soy metafísico), la forma en que una persona puede tomar ventaja del “Heartbleed Bug” es realmente alarmante. Neel Mehta, quien pertenece a la organización de Google Security descubrió un método el cual le permitía leer la memoria del sistema que supuestamente está protegido por OpenSSL y de esta forma capturar las llaves (“keys”) secretas que se utilizan para identificar el proveedor que ofrece el servicio de encriptación, en adición a la contraseña del usuario y contenido que se está trasmitiendo. Después que uno captura esta información, tienes libre albedrío para hacer lo que quieras con la data que se está trasmitiendo. Lo más impresiónate de todo, el “Heartbleed Bug” se puede rastrear hasta hace dos años atrás.

Para que tengan una idea del impacto, SSL (Secure Sockets Layer) es utilizado frecuentemente en páginas de web, servicios de mensajería, emails y conexiones a networks privados (VPNs). OpenSSL es una versión “open-source” de SSL y el cual es utilizado 2 de cada 3 servidores en la web, realmente preocupante. Compañías como Yahoo! dependen de este servicio. Sin embargo un parcho fue publicado el día de ayer para OpenSSL (1.0.1g) el cual atiende este tema.

Si usted es un propietario de una página de web, ¿qué debe de hacer para protegerse de este peligro? Si usted tiene control total del servidor web puede utilizar el siguiente enlace. Esta página hace una auditoría para investigar si efectivamente su servidor está expuesto a esta vulnerabilidad.

clip_image002

Si usted no controla el servidor de web (depende de un servicio de “Host”), comuníquese con la compañía que le brinda el servicio y pregunte si han tomado las medidas necesarias para proteger su contenido.

Vía: heartbleed.com, The Verge

¡Comparte tu opinion!