Potencialmente vulnerables sitios que utilizan versiones no actualizados de OpenSSL
El bug HeartBleed es una vulnerabilidad recién descubierta en la inmensamente popular biblioteca de software criptográfico OpenSSL. ¿Todavía estás meneando la cabeza? Sigue leyendo:
OpenSSL es la aplicación más utilizada de un conjunto de protocolos de seguridad llamado Secure Sockets Layer (SSL) que ayuda a cifrar el tráfico mientras se navega por la web.
Cada vez que envías y recibes información en línea - por ejemplo, cuando compras una pizza o nueva camiseta impresionante de Urban Outfitters - existe la posibilidad de que tus datos se envíen a través de SSL. Se puede decir que estás utilizando SSL cuando ves "https", un candado o un indicador verde mientras navegas por ciertos sitios.
Algunos programas electrónicos de chat y redes privadas virtuales (VPNs) también utilizan sistemas vinculados a OpenSSL para transmitir los datos y las comunicaciones de forma segura.
El bug HeartBleed es único y aterrador, ya que permite que cualquiera pueda leer la memoria de los sistemas protegidos de las versiones ahora vulnerable del software OpenSSL. Una vez que alguien con malas intenciones lee esta memoria, puede coger las llaves secretas que el servicio utiliza para cifrar el tráfico, los nombres y las contraseñas de los usuarios y recuperar todo tipo de datos privados.
¿En qué afecta?
Según Sam Kottler, un ingeniero de software que ha trabajado en numerosos proyectos de seguridad de código abierto y de gestión de sistemas, "Cualquier cosa que usted no quiere que vea un "chico malo de Internet" es potencialmente vulnerable en sitios que utilizan versiones no actualizados de OpenSSL".
Cosas como contraseñas, información bancaria, datos de tarjeta de crédito y excitantes fotografías personales son potencialmente vulnerables. Básicamente, todo lo que haces en Internet.
¿Ha puesto en peligro mis datos?
Desafortunadamente, para responder a esta pregunta sólo vas a tener que estar alerta. "Esto es realmente sobre una base de sitio por sitio", según Kottler. "Sitios y organizaciones responsables le harán saber si creen que se han visto comprometidos todos los datos".
Presta mucha atención en los próximos días a toda notificación de bancos, compañías de tarjetas de crédito y servicios de Internet de uso frecuente y cumple con todas las solicitudes de seguridad que te pidan.
Si estás preocupado de que tu sitio puede haber sido afectado por el bug HeartBleed, puedes probar tus servidores aquí.
¿Debo cambiar mis contraseñas? Si es así, ¿cuándo?
El parche a la biblioteca de OpenSSL ya está disponible. Sin embargo, puesto que el software es tan generalizado, va a tomar algún tiempo para que la solución se despliegue por toda la web. Ya que es inútil cambiar las contraseña antes de instalar este parche, por favor espera para las instrucciones de sitios y servicios individuales.
Actualizando OpenSSL para CentOS 6
# openssl version
OpenSSL 1.0.1e-fips 11 Feb 2013
# yum upgrade openssl
[salida de pantalla]
Loaded plugins: fastestmirror, priorities
Loading mirror speeds from cached hostfile
* base: mirror.ovh.net
* centosplus: mirror.ovh.net
* contrib: mirrors.ircam.fr
* epel: mirrors.ircam.fr
* extras: mirror.ovh.net
* updates: mirror.ovh.net
215 packages excluded due to repository priority protections
Setting up Upgrade Process
Resolving Dependencies
--> Running transaction check
---> Package openssl.x86_64 0:1.0.1e-16.el6_5.4 will be updated
--> Processing Dependency: openssl = 1.0.1e-16.el6_5.4 for package: openssl-devel-1.0.1e-16.el6_5.4.x86_64
---> Package openssl.x86_64 0:1.0.1e-16.el6_5.7 will be an update
--> Running transaction check
---> Package openssl-devel.x86_64 0:1.0.1e-16.el6_5.4 will be updated
---> Package openssl-devel.x86_64 0:1.0.1e-16.el6_5.7 will be an update
--> Finished Dependency Resolution
Dependencies Resolved
================================================================================
Package Arch Version Repository Size
================================================================================
Updating:
openssl x86_64 1.0.1e-16.el6_5.7 updates 1.5 M
Updating for dependencies:
openssl-devel x86_64 1.0.1e-16.el6_5.7 updates 1.2 M
Transaction Summary
================================================================================
Upgrade 2 Package(s)
Total download size: 2.7 M
Is this ok [y/N]: y
Downloading Packages:
(1/2): openssl-1.0.1e-16.el6_5.7.x86_64.rpm | 1.5 MB 00:00
(2/2): openssl-devel-1.0.1e-16.el6_5.7.x86_64.rpm | 1.2 MB 00:00
--------------------------------------------------------------------------------
Total 8.8 MB/s | 2.7 MB 00:00
Running rpm_check_debug
Running Transaction Test
Transaction Test Succeeded
Running Transaction
Updating : openssl-1.0.1e-16.el6_5.7.x86_64 1/4
Updating : openssl-devel-1.0.1e-16.el6_5.7.x86_64 2/4
Cleanup : openssl-devel-1.0.1e-16.el6_5.4.x86_64 3/4
Cleanup : openssl-1.0.1e-16.el6_5.4.x86_64 4/4
Verifying : openssl-1.0.1e-16.el6_5.7.x86_64 1/4
Verifying : openssl-devel-1.0.1e-16.el6_5.7.x86_64 2/4
Verifying : openssl-1.0.1e-16.el6_5.4.x86_64 3/4
Verifying : openssl-devel-1.0.1e-16.el6_5.4.x86_64 4/4
Updated:
openssl.x86_64 0:1.0.1e-16.el6_5.7
Dependency Updated:
openssl-devel.x86_64 0:1.0.1e-16.el6_5.7
Complete!
También tendrás que reiniciar cualquier servicio utilizado por libssl. Para comprobar la lista de estos servicios, se puede usar el siguiente comando:
# lsof -n | grep ssl | grep DEL
Hacemos un
# updatedb
y comprobamos la seguridad en http://filippo.io/Heartbleed/
Pasos siguientes
La vulnerabilidad permite a un atacante robar las claves privadas, lo que le permite descifrar cualquier información, así como hacerse pasar por el servidor. Por lo tanto se aconseja revocar las claves comprometidas y volver a emitir y redistribuir las nuevas.
Esto sólo es necesario si ya has configurado HTTPS con tu propio certificado. En este caso regenerar nuevos certificados y configurar de nuevo en el servidor.
BONUS
Cómo actualizar OpenSSL en CentOS 6.5 Linux/Unix de las fuentes
# rpm -qa openssl
# yum clean all && yum update "openssl*"
# lsof -n | grep ssl | grep DEL
# cd /usr/src
# wget http://www.openssl.org/source/openssl-1.0.1g.tar.gz
# tar -zxf openssl-1.0.1g.tar.gz
# cd openssl-1.0.1g
# ./config --prefix=/usr --openssldir=/usr/local/openssl shared
# ./config
# make
# make test
# make install
# cd /usr/src
# rm -rf openssl-1.0.1g.tar.gz
# rm -rf openssl-1.0.1g
y
# openssl version
Actualización: Los grandes ya empiezan a informar
Acabo de recibir un correo electrónico de Bitnami (una conocida biblioteca de aplicaciones de servidor y entornos de desarrollo que se pueden instalar con un solo clic, ya sea en una computadora portátil, en una máquina virtual o alojado en la nube) respecto al Heartbleed bug:
Important Security Information Regarding the OpenSSL Heartbleed bug (traducido)
Gracias por ser un usuario Bitnami. Le escribimos por que es probable que un reciente fallo de OpenSSL pueda afectar a su instalación.
El Bug Heartbleed es una grave vulnerabilidad en la popular biblioteca de software criptográfico OpenSSL. Esta debilidad permite el robo de la información protegida, en condiciones normales, por el cifrado SSL/TLS que se utiliza para asegurarlo.
Usted está probablemente esté afectado si ha configurado y ejecuta un sitio web con SSL activado, lo que significa que se puede acceder a él mediante el prefijo https:// en lugar de http:// . Usted tendrá que parchear las bibliotecas en su sistema y sustituir los certificados y las claves que puedan haber sido comprometidas. Tenga en cuenta que el acceso remoto mediante ssh no se ve afectado.
Puede encontrar información detallada y los próximos pasos en la siguiente URL: https://wiki.bitnami.com/security/2014-04_Heartbleed_Bug
Por favor, dirija cualquier pregunta que tenga sobre este tema en nuestro sitio web de la comunidad en la que hemos empezado una discusión alrededor del Bug Heartbleed http://community.bitnami.com/t/heartbleed-and-bitnami/23497 .
Saludos cordiales,
El Equipo de Bitnami