Un bug crítico en OpenSSL vulnera los datos de dos tercios de los servidores de Internet

Investigadores de seguridad han descubierto un bug crítico en el popular paquete de seguridad OpenSSL que afecta potencialmente a dos tercios de los servidores de todo Internet. El defecto bautizado como Heartbleed Bug hace posible extraer datos de cualquier servidor que haga uso de una versión del software OpenSSL que haya sido lanzada durante los últimos dos años.

La explotación del bug permite obtener claves privadas de cifrado, abriendo el acceso a la totalidad del contenido de cada servidor sin interferencia de las medidas de seguridad. Dado el acceso a las credenciales privilegiadas los ataques que utilizan esta vía de entrada no dejan rastros en los equipos, por lo que no es posible conocer cuándo se ha aprovechado el fallo de forma activa.

El bug ha sido descubierto por miembros del equipo de Google y de la firma de seguridad Codenomicon que colaboran con el proyecto OpenSSL. Los responsables de la librería han publicado hace unas horas un parche de emergencia junto a una advertencia de seguridad recomendando la actualización inmediata de las versiones que van de la 1.0.1 a la 1.0.1f.

Pese a la rauda actuación del proyecto OpenSSL el informe de seguridad señala que, incluso con el parche, los servidores que utilicen estas librerías podrían seguir siendo vulnerables debido a la extracción de claves de usuario o certificados digitales. Del mismo modo se destaca que el largo recorrido del bug junto a la imposibilidad de detectar intrusiones no permite conocer el verdadero alcance de la vulnerabilidad.

OpenSSL es con mucha diferencia el paquete de seguridad de código abierto más popular de la Red y se utiliza como el motor de codificación por defecto para los servidores Apache y nginx, los cuales conforman el 66% de Internet según cifras de Netcraft. El software también acompaña a todo tipo de aplicaciones y sistemas operativos entre los que se incluyen las distribuciones Debian Wheezy, Ubuntu, CENTOS, Fedora, OpenBSD, FreeBSD y OpenSUSE.
Que casualidad :-|

Tan casualidad como el backdoor de RSA...
Al final lo más seguro será no tener internet.
=kuril= escribió:Al final lo más seguro será no tener internet.

No lo dudes. A mi abuela no la hackean.
xD.... güejero sin dueño, güejero estatal.
Ricardo Cambre escribió: y sistemas operativos Linux entre los que se incluyen las distribuciones Debian Wheezy, Ubuntu, CENTOS, Fedora, OpenBSD, FreeBSD y OpenSUSE.


OpenBSD y FreeBSD han cambiado su kernel y sys a GNU/Linux y ahora son distribuciones Linux? Primera noticia que tengo.

[/sarcasm]

OpenBSD y FreeBSD, tal como su nombre indica son unix BSD, no Linux.

Ninja edit:

http://es.wikipedia.org/wiki/Linux
http://es.wikipedia.org/wiki/Berkeley_S ... stribution
Entonces, ¿lo que quiere decir que la mayor parte de los ataques serían de tipo MITM (man in the middle) debido a que la noticia se centra en los servidores web a través del protocolo https? ¿O existe otro riesgo aún mayor?
No hay sistema infalible. Ni creo que vaya a haberlo jamás mientras sigan existiendo humanos en algún lugar de la cadena. Esperemos que este bug no tenga graves consecuencias para millones de usuarios.

El día que quieran acabar con Internet, se hará por esta vía.
Madre mía...

No acabarán con internet... acabarán con nuestra privacidad y con el tiempo dejará de preocuparnos a fuerza de costumbre. Triste, si, pero real como la vida misma.

}:/
Ese bug es peligroso...
Ya te digo que internet aunque quitaran la NSA seguriamos sin tener privacidad. No me extrañaria que sea el Bug que usa la NSA para espiarnos xD. Cosa que dudo. El tema de la seguridad y privacidad, mientras uno no ponga cosas privadas no podran sacarte nada. A mi me podran sacar todas las fotos de mi Face y lista de juegos de Steam y poco mas como donde he estudiado y trabajado pero nada mas. Si me hakean la cuenta de algo pues nada mala suerte pero no me sacaran ni un dato privado o personal. (Tengo secretos muy oscuros, MUHAHAHAAAA) Y por este comentario mañana tendre la NSA en mi puerta xDDDDD.

Si descubren un bug lo mas logico es taparlo y no decir nada, porque si yo fuera un haker y veo la noticia lo primero que aria seria ir a atacar alguna web que me tiene tirria y publicar lista de mails y paswords por internet o intentar sacarle la pasta a alguien. No os parece? a no ser que publiquen la noticia meses despues de arreglar el fallo.
Si tengo una cuenta en paypal ligada a una cuenta me pueden robar?
Que chungo, al final lo mejor es no tener internet, volver a los tiempos de la psx, y si te quieres informar de lo que sea, pasate por un kiosco, y ni eso, con los satélites que hay por ahí, podrían averiguar si te gusta la prensa rosa, el porno, los videojuegos, los coches, o si te gusta leer sobre ñapas domesticas.
Muy dañino si señor, es evidente que no hay software seguro, lo bueno que una vez descubierto se le da una solución en un tiempo record, lo malo es la cantidad de información que habrá sido expuesta durante 2 largos años y del que se van a seguir aprovechando los que hayan robado claves de usuario y las claves de los certificados. Pues ya comentan que es imposible su detección si se usan credenciales válidas. ¡Vaya tela!.
core/openssl            1.0.1.f-2 -> 1.0.1.g-1


Dramas, que sois unos dramas XD
Ya está parcheado en Ubuntu/Kubuntu. Al menos Kubuntu desde ayer.

Salu2
Dj_Nacho escribió:Que casualidad :-|

Tan casualidad como el backdoor de RSA...

Cierto; le llaman bug pero es un puto backdoor creado e introducido por las agencias de vigilancia.
Ya tengo mis servidores patcheados. Gracias por el aviso.

Aquí teneis una herramienta para averiguar si vuestros sistemas son vulnerables.

http://filippo.io/Heartbleed/
Un fallo en Matrix...

¿Alguno ha visto pasar dos veces un gato?
El firewall son los padres XDDD o mejor la NSA XDDD
mmiiqquueell escribió:Si descubren un bug lo mas logico es taparlo y no decir nada, porque si yo fuera un haker y veo la noticia lo primero que aria seria ir a atacar alguna web que me tiene tirria y publicar lista de mails y paswords por internet o intentar sacarle la pasta a alguien. No os parece? a no ser que publiquen la noticia meses despues de arreglar el fallo.


Este bug ha sido publicado por Google y Codenomicon. Sencillamente, no se sabe si alguien anteriormente pudo descubrir el bug, pues su explotación no deja rastros.

Ahora ni de lejos todos los hakers se dedican a publicar listas de password en pastebin [+risas], en realidad eso lo hacen una pequeña minoria que sólo quiere llamar la atención y ganar followers en su cuenta de Twitter, y por lo general, no son ellos los que descubren fallos de seguridad, sino que son personas que se miran guias y tutoriales de hacking y explotan sistemas obsoletos en temas de seguridad [+risas]. La gente que se dedica a descubrir fallos de seguridad, por lo general, trabaja para una empresa privadas, para el gobierno, o vende la información a las partes vulnerables.
RaPhaT escribió:
=kuril= escribió:Al final lo más seguro será no tener internet.

No lo dudes. A mi abuela no la hackean.


Cuidado que no lleve marcapasos jajajaja

https://www.youtube.com/watch?v=bJP5hz2moO0
Y cómo sabemos si nos han robado información? esperando y ya está?
infojoe escribió:Y cómo sabemos si nos han robado información? esperando y ya está?


Básicamente. Por lo que he leído, no hay forma de saber la información que haya podido ser sustraída, así que toca cambiar las contraseñas de usuario, y vigilar regularmente las cuentas del banco y todo eso...
24 respuestas