• Registrarse
  • Iniciar sesión


  • Resultados 1 al 6 de 6

    Heartbleed el grave error que compromete la seguridad en Internet

    Heartbleed el grave error que compromete la seguridad en Internet El método de encriptación OpenSSL ha comprometido desde 2012 a dos tercios de las webs Las compañías de Internet se apresuraron hoy a poner un ...

          
    1. #1
      Warrior Avatar de @JoseAsuncion
      Registrado
      sep 2012
      Ubicación
      Lima
      Mensajes
      11.598

      Mensaje Heartbleed el grave error que compromete la seguridad en Internet

      Heartbleed el grave error que compromete la seguridad en Internet

      El método de encriptación OpenSSL ha comprometido desde 2012 a dos tercios de las webs


      Las compañías de Internet se apresuraron hoy a poner un parche a sus sistemas después de que se alertara de un grave error de software en el método de encriptación OpenSSL que ha comprometido seriamente desde 2012 la seguridad de dos tercios de las páginas web existentes.

      El fallo, bautizado como "heartbleed", fue localizado por ingenieros de Google y de la empresa de ciberseguridad Codenomicon la semana pasada. El lunes por la noche los responsables de OpenSSL dieron a conocer el problema al tiempo que publicaron una actualización que lo soluciona.

      La vulnerabilidad se remonta a la versión OpenSSL 1.0.1 lanzada el 14 de marzo de 2012 y afecta también a la versión 1.0.1f.

      Según la página creada para explicar el incidente informático, Heartbleed.com, el error ponía al alcance de cualquier hacker el acceso a unidades de información privada y protegida alojadas en servidores que usaran OpenSSL, una codificación de seguridad de uso extendido en Internet.

      "Tu red social, la página web de tu empresa, la de comercio electrónico, la de tus aficiones, la página desde la que instalas un software o incluso páginas gubernamentales podrían haber sido vulnerables a OpenSSL", se indica en Heartbleed.com. A esa lista hay que añadir correos electrónicos, mensajería instantánea y redes privadas de comunicación (VPN).

      Yahoo anunció hoy que había puesto un parche a este fallo tras aparecer como una de las páginas que estaban todavía expuestas, según una clasificación elaborada por GitHub en la que también aparecen Eventbrite y Flickr, entre otras.

      Google, Facebook, Youtube, Twitter, Blogspot, Amazon, Wordpress y Pinterest, que utilizan SSL, también repararon ya el fallo.

      No se tiene constancia de que ningún pirata informático se haya dado cuenta de esta debilidad del sistema OpenSSL, si bien un hacker podría haber accedido a información sin dejar rastro, según los expertos.

      Desde la red de seguridad Tor Project, afectada por el error de software, se advirtió de que el fallo era tan alarmante que recomendó a las personas que "necesiten elevado anonimato y privacidad en Internet" que se mantuvieran "alejados de Internet totalmente durante los próximos días hasta que las cosas se calmen".

      Fuente: El País


      Woaxxx
      * Síguenos en nuestro Twitter y hazte nuestro amigo en Facebook.
      * Infórmate de las ultimas amenazas de la red desde: InfoSpyware Blog
      * No se resuelven dudas por Privados ni por E-mail, ya que para eso esta el foro.

    2. #2
      FS-Admin
      Avatar de @MarceloRivero
      Registrado
      ene 2005
      Ubicación
      Miami
      Mensajes
      40.914

      Re: Heartbleed el grave error que compromete la seguridad en Internet

      Mucho se está hablando en la red sobre Heartbleed, por lo que estas son algunas preguntas frecuentes:

      ¿Qué es Heartbleed?
      Una grave vulnerabilidad en OpenSSL 1.0.1 que permitiría a un atacante obtener 64Kb de memoria de los servidores afectados.


      ¿Qué es OpenSSL?
      La biblioteca criptográfica OpenSSL en la que se basan la mayoría de las conexiones seguras de Internet


      ¿Cuantos sitios webs utilizan OpenSSL?
      Se estima que 2 de cada 3 sitios HTTPS utilizan OpenSSL, pero cuidado que no todos son vulnerables como se está diciendo, ósea que pasamos de miles de millones a un 17% según NetCraft


      ¿Cuáles fueron los sitios más populares afectados?
      Yahoo, imgur, stackoverflow, kickass, flickr, redtube, entre otros que encuentran en este listado en Github


      ¿Cómo comprobar si un sitio web es vulnerable a Heartbleed?
      Existes sitios que están ofreciendo este servicio y uno de los primero fue: Heartbleed test (de filippo.io)


      ¿Desde cuándo se conoce el fallo de Heartbleed?
      Se estima que el fallo tiene más de 2 años y fue descubierto en diciembre del 2013 por Google. Si bien algunos otros importantes sitios también estaban al tanto del bug y lo repararon en sus servidores, no todos como el caso más notorio de Yahoo que estuvo casi todo un día con su ventana abierta.


      ¿Cómo nos afectan Heartbleed a nosotros los usuarios?
      Al visitar un sitio web que este siendo atacado para aprovecharse de Heartbleed, el atacante tendría acceso en texto plano de nuestros datos como nombre de usuario, contraseña, número de tarjeta, etc... Es importante aclarar que esto tiene que ser al mismo tiempo, ósea si visitamos un sitio vulnerable hace un mes pero en ese momento no estaba siendo explotado por Heartbleed, no pasa nada... en otras palabras, si nadie estaba mirando, nadie ve nada, aunque como esto no deja rastro, no se sabe si alguien ya estuvo mirando y lo que.


      ¿Qué podemos hacer nosotros como usuarios?
      No mucho más que comprobar primeramente que el sitio web que visitamos regularmente que tiene conexión segura de HTTPS no es vulnerable al Heartbleed y en caso de si serlo, esperar a que lo resuelvan para luego cambiar nuestra contraseñas. En caso de no serlo, tampoco nunca esta demás renovar nuestras contraseñas, pero es importante primero asegurarse que no sigue siendo afectado por Heartbleed, sino de nada sirve.


      Como medida de precaución adicional, cuidado con los mensajes de SPAM / PHISHING que ya están dando vuelvas por la red para que cambiemos las contraseñas. Recuerden que lo mejor es entrar directamente al sitio poniendo la url en su navegador en lugar de seguir un link en un email o similar.

      Y si tienen más consultas sobre el tema, las pueden hacer en este mismo post.




      Salu2
      Marcelo Rivero
      Microsoft MVP Enterprise Security.



      * Síguenos en nuestro Twitter y hazte nuestro amigo en Facebook.
      * Infórmate de las ultimas amenazas de la red desde: InfoSpyware Blog
      * No se resuelven dudas por Privados ni por E-mail, ya que para eso esta el foro.

    3. #3
      Warrior Avatar de @JoseAsuncion
      Registrado
      sep 2012
      Ubicación
      Lima
      Mensajes
      11.598

      Re: Heartbleed el grave error que compromete la seguridad en Internet

      Gracias por la aclaración, Jefe.

      También he leído que en algunas web están recomendado instalar LastPass.


      saludos.
      Woaxxx
      * Síguenos en nuestro Twitter y hazte nuestro amigo en Facebook.
      * Infórmate de las ultimas amenazas de la red desde: InfoSpyware Blog
      * No se resuelven dudas por Privados ni por E-mail, ya que para eso esta el foro.

    4. #4
      FS-Admin
      Avatar de @MarceloRivero
      Registrado
      ene 2005
      Ubicación
      Miami
      Mensajes
      40.914

      Re: Heartbleed el grave error que compromete la seguridad en Internet

      Cita Originalmente publicado por Woaxxx Ver Mensaje
      También he leído que en algunas web están recomendado instalar LastPass.
      mmmmm nop, no tendría nada que ver para los usuarios ni los servidores...


      LastPass es un gestor de contraseñas el cual se esta nombrando por ahí ya que en un principio se pensó que estaba siendo afectado en su sitio web debido a que utilizaba una version vulnerable de OpenSSL.

      Pero rápidamente desde su blog afirmaron que las múltiples capas de encriptación que ofrecen mantienen a salvo a sus usuarios.

      Eh incluso ahora ofrecen también su herramienta gratuita para comprobar posibles sitios webs afectados por Heartbleed.





      Salu2
      Marcelo Rivero
      Microsoft MVP Enterprise Security.



      * Síguenos en nuestro Twitter y hazte nuestro amigo en Facebook.
      * Infórmate de las ultimas amenazas de la red desde: InfoSpyware Blog
      * No se resuelven dudas por Privados ni por E-mail, ya que para eso esta el foro.

    5. #5
      Warrior Avatar de @JoseAsuncion
      Registrado
      sep 2012
      Ubicación
      Lima
      Mensajes
      11.598

      Re: Heartbleed el grave error que compromete la seguridad en Internet

      Bien, gracias por la aclaración.

      saludos cordiales.
      Woaxxx
      * Síguenos en nuestro Twitter y hazte nuestro amigo en Facebook.
      * Infórmate de las ultimas amenazas de la red desde: InfoSpyware Blog
      * No se resuelven dudas por Privados ni por E-mail, ya que para eso esta el foro.

    6. #6
      Warrior Avatar de @JoseAsuncion
      Registrado
      sep 2012
      Ubicación
      Lima
      Mensajes
      11.598

      Re: Heartbleed el grave error que compromete la seguridad en Internet

      El fallo de seguridad Heartbleed afecta también a los routers


      El bug Heartbleed ha puesto en jaque la seguridad mundial de Internet y de millones de usuarios. Por aquí te hemos explicado en qué consiste, cómo protegerte y cómo saber qué contraseñas has de cambiar. Pero hay más. Cisco y Juniper Networks han revelado que el fallo afecta también al equipamiento de comunicación con el que empresas y usuarios se conectan a Internet.

      Los equipos de telecomunicaciones, como los routers, utilizan el cifrado SSL. De hecho, los modelos más antiguos funcionan con versiones anteriores de SSL. Tratándose Heartbleed de una vulnerabilidad en OpenSSL, la versión de código abierto de SSL, es bastante normal que el hardware esté afectado.

      Afortunadamente, como confirman Cisco y Juniper, el fallo solo afecta a una parte limitada de sus equipos porque no todos utilizan la misma versión de OpenSSL. De momento solo Cisco y Juniper han admitido verse afectados por Heartbleed, pero seguro que otros fabricantes de equipamiento de comunicaciones están en la misma situación. Cisco y Juniper son dos de los mayores fabricantes del mundo y eso significa que millones de routers en empresas y hogares pueden ser vulnerables al fallo de seguridad.

      ¿Qué hacer? Si tienes un aparato de Juniper o Cisco, puedes comprobar aquí, aquí y aquí si son modelos afectados. Ambas compañías están trabajando en actualizaciones de software para esos routers y equipos, actualizaciones que deberías descargarte tan pronto como estén disponibles.

      Fuente: Gizmodo
      Woaxxx
      * Síguenos en nuestro Twitter y hazte nuestro amigo en Facebook.
      * Infórmate de las ultimas amenazas de la red desde: InfoSpyware Blog
      * No se resuelven dudas por Privados ni por E-mail, ya que para eso esta el foro.