Hace ya dos meses que Google daba la voz de alarma ante el bug Heartbleed, una vulnerabilidad crítica de OpenSSL que pone en jaque la seguridad de gran parte de la Red. Sin embargo, pese a la reconocida urgencia del problema parece que a estas alturas el error de seguridad todavía está lejos de ser erradicado.
El investigador de seguridad Robert David Graham ha advertido este fin de semana desde su blog que más de 300.000 servidores siguen siendo vulnerables a Heartbleed. El analista ha realizado el estudio escaneando un único puerto de los servidores, por lo que la cifra todavía podría ser mayor.
Graham realizó el primer escaneo inmediatamente después del descubrimiento de Heartbleed, descubriendo 615.268 máquinas vulnerables en ese instante. Un mes después, el investigador repitió el experimento contabilizando 318.239 servidores expuestos a Hearbleed. La cifra del mes pasado tan solo se ha reducido actualmente hasta los 309.197 casos vulnerables, sugiriendo una relajación en el esfuerzo generalizado por tapiar el agujero.
Por si la amenaza de Heartbleed no fuese suficiente, The Guardian se hacía eco a principios de este mes de otra "vulnerabilidad de inyección CCS" en OpenSSL que podría ser "más peligrosa que Hearbleed". Esta serie de problemas en la librería de seguridad se podría haber cobrado su primera "víctima" tangible con el retraso del teléfono OnePlus One, según revelan algunas fuentes.
Ante esta abrumadora situación, Google ha decidido hacer borrón y cuenta nueva con el lanzamiento de "BoringSSL", un nuevo fork de OpenSSL que integra los más de 70 parches publicados hasta la fecha para el software original. Los de Mountain View han aclarado que no desean reemplazar a OpenSSL o LibreSSL, sino construir un proyecto con la seguridad como objetivo principal. La compañía planea ofrecer BoringSSL "próximamente" en el repositorio de Chromium y con el tiempo implementarlo en Android.
El investigador de seguridad Robert David Graham ha advertido este fin de semana desde su blog que más de 300.000 servidores siguen siendo vulnerables a Heartbleed. El analista ha realizado el estudio escaneando un único puerto de los servidores, por lo que la cifra todavía podría ser mayor.
Graham realizó el primer escaneo inmediatamente después del descubrimiento de Heartbleed, descubriendo 615.268 máquinas vulnerables en ese instante. Un mes después, el investigador repitió el experimento contabilizando 318.239 servidores expuestos a Hearbleed. La cifra del mes pasado tan solo se ha reducido actualmente hasta los 309.197 casos vulnerables, sugiriendo una relajación en el esfuerzo generalizado por tapiar el agujero.
Por si la amenaza de Heartbleed no fuese suficiente, The Guardian se hacía eco a principios de este mes de otra "vulnerabilidad de inyección CCS" en OpenSSL que podría ser "más peligrosa que Hearbleed". Esta serie de problemas en la librería de seguridad se podría haber cobrado su primera "víctima" tangible con el retraso del teléfono OnePlus One, según revelan algunas fuentes.
Ante esta abrumadora situación, Google ha decidido hacer borrón y cuenta nueva con el lanzamiento de "BoringSSL", un nuevo fork de OpenSSL que integra los más de 70 parches publicados hasta la fecha para el software original. Los de Mountain View han aclarado que no desean reemplazar a OpenSSL o LibreSSL, sino construir un proyecto con la seguridad como objetivo principal. La compañía planea ofrecer BoringSSL "próximamente" en el repositorio de Chromium y con el tiempo implementarlo en Android.
+10000
Efectivamente, yo no se como no se les cae la cara de vergüenza...
Para cobrar estan muy rápidos.
BoringSSL no tiene ningún sentido, OpenSSL tiene ya corregidos todos estos bugs. lo que debería hacer Google es apoyar firmemente el proyecto Core Infrastructure Initiative (oficialmente ya lo hace).
Que un cambio de siglas lleva a confusión y a meclar churras con merinas. Además el bug, en realidad los bugs, llevan un par de semanas arreglados, si bien estos llevaban desde principios de siglo ahí. Esa es la alarma.
Por lo demás, la información de The Guardian es, inicialmente, muy inexacta.
¿Y cuantos se quedarán con la vulnerabilidad?. Quitando los Moto E/G/X y Nexus aun con soporte, el resto se va a quedar expuesto a la vulnerabilidad. Los de gama media / baja se quedan forever and ever con la versión que lleve de casa. Quizás los de gama alta se salven y aun con muchísima suerte, algunos de gama media.
Solo les queda de tirar de ROM cocinada y si está disponible para el Smarphone en cuestión, algo no disponible para una mayoría ignorante (sin acritud) que no sabe lo que tiene en sus manos, excepto para Whatsapp, Facebook y poco mas.