Esta semana varios ingenieros de seguridad en informática trajeron a la luz pública la vulnerabilidad de openSSL conocida como Heartbleed. Esta vulnerabilidad sería utilizada para engañar a un sistema obligándolo a revelar datos que se encuentren alojados en la memoria. La grave vulnerabilidad se encuentra presente desde diciembre del 2011 y hasta ahora se acaba de descubrir y empezamos a saber sobre ella. Mucho del tráfico web se encuentra altamente comprometido pues dos tercios de los servidores en Internet hacen uso de OpenSSL. Es por esta razón que varios de los websites que manejan cuentas de usuarios en el internet le están pidiendo a sus usuarios que cambién sus contraseñas.
¿Qué es Heartbleed?
Esta vulnerabilidad llamada Heartbleed por sus descubridores lleva el nombre oficial de CVE-2014-0169 y es muy peligrosa ya que permitiría a los atacantes leer 64KB de memoria en un servidor y podría parecer poco pero esta memoria podría contener información muy importante sobre los usuarios o los servidores. Este error se encuentra presente desde diciembre del 2011 pero apenas se acaba de descubrir por lo que cualquier sistema que utilice versiones de OpenSSL con hasta dos años de antigüedad podrían verse comprometidos. En específico las versiones OpenSSL afectadas van desde la 1.0.1 hasta la 1.0.2-beta. Se ha lanzado una versión provisional 1.0.1g que arregla la vulnerabilidad aunque las páginas web deberán revocar los certificados de seguridad antiguos porque podrían estar en peligro.
¿Qué es openSSL?
OpenSSL es un proyecto de software libre que consiste en una serie de herramientas de administración y bibliotecas que se relacionan con la criptografía. Su función es la de proveer propiedades criptográficas a paquetes como OpenSSH o a navegadores web para que se pueda tener un acceso seguro a sitios con seguridad HTTPS y para cifrar el tráfico en Internet. La última versión estable de Open SSL es la 1.0.1f de enero de este año que también se encuentra comprometida por Heartbleed.
¿Qué importancia tiene para usted este asunto?
Algunas empresas de Internet que eran vulnerables al error ya han actualizado sus servidores con un parcho de seguridad para solucionar el problema. Esto significa que usted tendrá que entrar y cambiar sus contraseñas de inmediato para estos sitios. Incluso eso no es garantía de que su información no estaba ya en peligro, pero no hay indicación de que los piratas sabían de la explotación antes de esta semana.
Aunque cambiar su contraseña con regularidad es siempre una buena práctica, si un sitio o servicio aún no ha parcheado el problema, tu información seguirá siendo vulnerable.
El reconocido website Mashable recopiló información de los sitios que tenían esa vulnerabilidad, si el parcho ha sido aplicado y si hay o no necesidad de cambiar la contraseña. Pero como dicen en mi barrio, más vale precaver que tener que lamentar.
A continuación un extracto de la información recopilada por Mashable. La traducción del encabezado de las columnas de la tabla es: ¿Fue afectado? , ¿Existe un parcho?, ¿Debes cambiar la contraseña?, ¿Qué dice la compañía? Ponga especial atención a las últimas dos columnas.
La recomendación de quién escribe este artículo es que no lo piense dos veces y cambie las contraseñas en aquellos lugares que aparecen en las tablas y en los cuales usted tiene cuenta. Para más información sobre otros tipos de servicios afectados visite el sitio web de Mashable.
Pendientes a YoSoyAndroid pues de surgir alguna información adicional al respecto la estaremos publicando.
Fuente 1
Fuente 2
The post Vulnerabilidad de openSSL HEARTBLEED: ¿Debes cambiar tus contraseñas? appeared first on YO SOY ANDROID.
Continúar leyendo...
¿Qué es Heartbleed?
Esta vulnerabilidad llamada Heartbleed por sus descubridores lleva el nombre oficial de CVE-2014-0169 y es muy peligrosa ya que permitiría a los atacantes leer 64KB de memoria en un servidor y podría parecer poco pero esta memoria podría contener información muy importante sobre los usuarios o los servidores. Este error se encuentra presente desde diciembre del 2011 pero apenas se acaba de descubrir por lo que cualquier sistema que utilice versiones de OpenSSL con hasta dos años de antigüedad podrían verse comprometidos. En específico las versiones OpenSSL afectadas van desde la 1.0.1 hasta la 1.0.2-beta. Se ha lanzado una versión provisional 1.0.1g que arregla la vulnerabilidad aunque las páginas web deberán revocar los certificados de seguridad antiguos porque podrían estar en peligro.
¿Qué es openSSL?
OpenSSL es un proyecto de software libre que consiste en una serie de herramientas de administración y bibliotecas que se relacionan con la criptografía. Su función es la de proveer propiedades criptográficas a paquetes como OpenSSH o a navegadores web para que se pueda tener un acceso seguro a sitios con seguridad HTTPS y para cifrar el tráfico en Internet. La última versión estable de Open SSL es la 1.0.1f de enero de este año que también se encuentra comprometida por Heartbleed.
¿Qué importancia tiene para usted este asunto?
Algunas empresas de Internet que eran vulnerables al error ya han actualizado sus servidores con un parcho de seguridad para solucionar el problema. Esto significa que usted tendrá que entrar y cambiar sus contraseñas de inmediato para estos sitios. Incluso eso no es garantía de que su información no estaba ya en peligro, pero no hay indicación de que los piratas sabían de la explotación antes de esta semana.
Aunque cambiar su contraseña con regularidad es siempre una buena práctica, si un sitio o servicio aún no ha parcheado el problema, tu información seguirá siendo vulnerable.
El reconocido website Mashable recopiló información de los sitios que tenían esa vulnerabilidad, si el parcho ha sido aplicado y si hay o no necesidad de cambiar la contraseña. Pero como dicen en mi barrio, más vale precaver que tener que lamentar.
A continuación un extracto de la información recopilada por Mashable. La traducción del encabezado de las columnas de la tabla es: ¿Fue afectado? , ¿Existe un parcho?, ¿Debes cambiar la contraseña?, ¿Qué dice la compañía? Ponga especial atención a las últimas dos columnas.
Redes Sociales
Otras compañías
Correos electrónicos
Tiendas/Comercios online
Otros
La recomendación de quién escribe este artículo es que no lo piense dos veces y cambie las contraseñas en aquellos lugares que aparecen en las tablas y en los cuales usted tiene cuenta. Para más información sobre otros tipos de servicios afectados visite el sitio web de Mashable.
Pendientes a YoSoyAndroid pues de surgir alguna información adicional al respecto la estaremos publicando.
Fuente 1
Fuente 2
The post Vulnerabilidad de openSSL HEARTBLEED: ¿Debes cambiar tus contraseñas? appeared first on YO SOY ANDROID.
Continúar leyendo...