Las noticias de Cloudflare del viernes indican que el debate sobre si la nueva vulnerabilidad OpenSSL Heartbleed podría utilizarse para obtener claves de cifrado privadas de servidores y sitios web vulnerables. Cloudflare confirmó que las pruebas independientes de terceros revelaron que esto es cierto. Las claves de cifrado privadas están en riesgo.
MakeUseOf informó anteriormente el error OpenSSL Error masivo en OpenSSL pone gran parte de Internet en riesgo Error masivo en OpenSSL pone en riesgo gran parte de Internet Si eres una de esas personas que siempre han creído que la criptografía de código abierto es la forma más segura de comunicarse en línea, te espera un poco sorpresa. Lea más la semana pasada e indicó en ese momento que todavía no se había aclarado si las claves de cifrado eran vulnerables, porque Adam Langley, un experto en seguridad de Google, no pudo confirmar que ese fuera el caso.
Cloudflare emitió originalmente un "Desafío Heartbleed" el viernes, configurando un servidor nginx con la instalación vulnerable de OpenSSL en su lugar, y desafió a la comunidad de hackers para tratar de obtener la clave de cifrado privada del servidor. Los piratas informáticos en línea saltaron para enfrentar el desafío, y dos individuos tuvieron éxito hasta el viernes, y varios más "éxitos" siguieron. Cada intento exitoso de extraer claves de cifrado privadas solo a través de la vulnerabilidad Heartbleed se suma a la creciente evidencia de que el impacto de Hearbleed podría ser peor de lo que se sospechaba originalmente.
La primera presentación se realizó el mismo día en que se emitió el desafío, por un ingeniero de software con el nombre de Fedor Indutny. Fedor logró después de golpear el servidor con 2, 5 millones de solicitudes.
La segunda presentación provino de Ilkka Mattila en el Centro Nacional de Ciberseguridad en Helsinki, que solo necesitó alrededor de cien mil solicitudes para obtener las claves de cifrado.
Después de que se anunciaran los dos primeros ganadores, Cloudflare actualizó su blog el sábado con dos ganadores más confirmados: Rubin Xu, estudiante de doctorado en la Universidad de Cambridge y Ben Murphy, investigador de seguridad. Ambas personas probaron que podían sacar la clave de cifrado privada del servidor, y Cloudflare confirmó que todas las personas que superaron con éxito el desafío lo hicieron utilizando nada más que el exploit Heartbleed.
Los peligros planteados por un pirata informático que obtiene la clave de cifrado en un servidor están muy extendidos. Pero, ¿deberías estar preocupado?
Como Christian señaló recientemente, muchas fuentes de medios están promoviendo la amenaza planteada Heartbleed: ¿qué puedes hacer para mantenerte a salvo? Heartbleed: ¿qué puedes hacer para mantenerte seguro? Lea más acerca de la vulnerabilidad, por lo que puede ser difícil medir el peligro real.
Qué puede hacer: averigüe si los servicios en línea que utiliza son vulnerables (Christian proporcionó varios recursos en el enlace anterior). Si lo son, evite usar ese servicio hasta que escuche que los servidores han sido parcheados. No se meta para cambiar sus contraseñas, porque solo está proporcionando más datos transmitidos para que los piratas informáticos descifren y obtengan sus datos. Acuéstese, supervise el estado de los servidores y, cuando hayan sido actualizados, entre y cambie inmediatamente sus contraseñas.
Fuente: Ars Technica | Crédito de la imagen: Silhouette of a Hacker by GlibStock at Shutterstock