OpenSSL es la librería usada por una gran cantidad de servidores y programas para cifrar sus conexiones en Internet, desde el servidor Apache hasta clientes de correo electrónico; por eso el bug que se acaba de descubrir y que lleva en el código desde hace mas de dos años ha provocado reacciones de alarma entre todos los expertos de seguridad. Básicamente este bug, que no deja huella, permite a un atacante “escuchar” nuestras conexiones supuestamente seguras y obtener todos los datos que quiera.

2/3 de los servidores afectados

Se calcula que este bug afecta a dos tercios de los servidores web del mundo, que de repente ven como las llaves que estaban usando para cifrar la conexión son accesibles por atacantes; con esta pueden descifrar las conexiones y leerlas como si no hubiese ningún tipo de seguridad, un ataque conocido como Man-in-the-middle. Lo peor es que este tipo de acceso no deja ningún tipo de registro en los archivos log del sistema, así que nadie sabe si esta vulnerabilidad ya se está usando por parte de hackers.

Man_the_middle

Ya existe un parche para OpenSSL que evita este tipo de accesos, pero según los investigadores no es suficiente para parar a los posibles atacantes que ya hayan entrado en el sistema y hayan obtenido información crucial como las contraseñas de los servidores. Por tanto ahora a los administradores de sistema les queda la tarea de no solo actualizar con el parche, sino de cambiar contraseñas, anular las claves usadas y obtener otras nuevas, así como invalidad todas las claves usadas hasta ahora y todas las cookies de inicio de sesión.

Por una parte es bueno ver de nuevo que la comunidad del software libre ha conseguido lanzar un parche muy poco después de hacerse público el bug, pero por otra es un fallo demasiado grande y solo podemos confiar en que los administradores hayan hecho su trabajo y hayan seguido los pasos para proteger sus sistemas.

Fuente | Ars Technica | Heartbleed Bug