DESCRIPCIÓN DEL HEARTBLEED BUG TAMBIEN LLAMADO CVE-2014-0160

Heartbleed

Contenido de este articulo: Cual fue el inicio del Heartbleed. Como fue descubierto. Que hace el Heartbleed. comprobar si mi web se ve afectada por el Heartbleed

Descripción del Heartbleed Bug

¿Cual fue el inicio del Heartbleed?

En abril 2014 se anuncio que un fallo en el software utilizado por millones de servidores web pueden haber sido la causa de espionaje y escuchas ilegales, incluida la interceptación de sus contraseñas y otra información de la cuenta
Se le apodo "Heartbleed" el fallo reside en una biblioteca del software OpenSSL que se utiliza en servidores, sistemas operativos, correo electrónico y sistemas de mensajería instantánea.
El nombre se lo puso un administrador de sistemas en Codenomicon, su nombre técnico original es CVE-2014-0160, el nombre de la línea de código que contiene el error.
Padarojicamente el software OpenSSL se encarga entre otras cosas de la seguridad de los servidores en los que alojamos nuestras webs.

¿Como fue descubierto?

El error fue descubierto por los investigadores que trabajan para Google y la empresa de seguridad Codenomicon.
Los investigadores dijerón que la "vulnerabilidad grave" permite que cualquiera pueda leer fragmentos de memoria en los servidores que ejecutan una versión defectuosa de OpenSSL.
A través de esta ruta, los atacantes podrían llegar a las claves secretas utilizadas para cifrar los datos a medida que pasa entre un servidor y sus usuarios.

¿Que hace el Heartbleed?

Permite a los hackers engañar fácilmente servidores con OpenSSL para que revele las claves de descifrado almacenados en su memoria.
Con esas llaves, los mal intencionados pueden espiar las comunicaciones cifradas, directamente robar información sensible, y hacerse pasar por usuarios y servicios.

¿Como protegerse del Heartbleed?

Los administradores de servidores y alojamientos webs son los encargados de protegernos a los usuarios que tenemos contratados con ellos el alojamiento o el servidor, la razón es que son los unicos que tienen acceso total y pleno al servidor.
A partir de la versión de OpenSSL del 07 de abril 2014 ya no es vulnerable a este tipo de error. En el caso de que el servidor haya sido afectado, habria que modificar todos los usuarios y contraseñas del servidor, tanto a nivel de administrador como a nivel de cliente (gestores de contenido, correo electronico, bases de datos), si no lo hacemos la actualización del OpenSSL solo serviria para futuras infecciones no para las anteriores.

Desde aqui te puedes descargar el archivo de texto en castellano sobre las nuevas actualizaciones de seguridad del Software OpenSSL del 19 de Marzo del 2015

Video de ejemplo de ataque a 3 webs con el bug de Heartbleed

¿Como comprobar si mi web se ve afectada por el Heartbleed?

Aqui tines varios sitios donde puedes comprobar a traves de tu web si tienes la vulverabilidad del heartbleed Lastpass y SSlabs y Filippo

Listado de software que SI puede ser afectado por la vunerabilidad del Heartbleed o el CVE-2014-0160

  • OpenSSL 1.0.1 través 1.0.1f (inclusive)
  • Debian Wheezy (estable), OpenSSL deb7u4 1.0.1e-2 +
  • Ubuntu 12.04.4 LTS, OpenSSL 1.0.1-4ubuntu5.11
  • CentOS 6.5, OpenSSL 1.0.1e-15
  • Fedora 18, OpenSSL 1.0.1e-4
  • OpenBSD 5.3 (OpenSSL 1.0.1c 10 de mayo 2012) y 5.4 (OpenSSL 1.0.1c 10 de mayo 2012)
  • FreeBSD 10.0 - 1.0.1e de OpenSSL 11 de febrero 2013
  • NetBSD 5.0.2 (OpenSSL 1.0.1e)
  • OpenSUSE 12.2 (OpenSSL 1.0.1c)

Listado de software que NO ESTA afectado por la vunerabilidad del Heartbleed o el CVE-2014-0160

  • Debian Squeeze (antigua estable), OpenSSL 0.9.8o-4squeeze14
  • SUSE Linux Enterprise Server
  • FreeBSD 8.4 - 0.9.8y OpenSSL 05 de febrero 2013
  • FreeBSD 9.2 - 0.9.8y OpenSSL 05 de febrero 2013
  • FreeBSD 10.0p1 - 1.0.1g OpenSSL (Al 08 de abril 2014 18:27:46 UTC)
  • Ports de FreeBSD - 1.0.1g OpenSSL (En el 07 de abril 2014 21:46:40 UTC)

¿Eres el propietario o el administrador de un servidor web? Esto te deberia interesar. Como actualizar la versión del OpenSSL

  • 1 Abre un terminal o una ventana y tener acceso a tu servidor a traves de lineas de comando.
  • 2 Averigua la versión actual de tu OpenSSL escribiendo $ sudo openssl version -a. Veras tres lineas con la fecha y la versión del software.
  • 3 Para sistemas basados en paquetes deb (Debian, Ubuntu…) ejecutar estar lineas $ sudo apt-get update
    $ sudo apt-get upgrade

    Para sistemas basados en paquetes rpm (CentOS, Fedora…) $ yum -y install openssl
  • 4 Despues de la actualización vuelve a comprobar la version igual que en el punto 2
  • 5 Reinicia el servidor por completo con $ sudo shutdown -r now