Si leiste algo de Heartbleed y corriste a cambiar tus claves pensando que todo está seguro estás equivocado, pero como la noticia ya pasó nadie le presta atención y hay servicios que todavía siguen sin cambiar sus certificados… con lo que todos los problemas de Heartbleed siguen existiendo.
Hay mil formas de explicar que pasó con Heartbleed, hasta en un comic de XCKD, pero básicamente esto es un error de código y no del protocolo TTS/SSL que hace que el server con OpenSSL de más información de la que debería (ok, estoy simplificando mucho!) y hace inseguros los certificados que “aseguran” los sitios.
Para ser claro, la UNICA forma de arreglar este problema es que los sitios vulnerables (que se cuentan en decenas de miles) hagan un update de OpenSSL y emitan nuevamente sus certificados de seguridad.
¿Que significa esto para mi? Básicamente que aunque cambies la clave, si el certificado no se renovó la misma sigue siendo vulnerable (podés revisar sitio por sitio en esta herramienta de vulnerabilidad de Heartbleed en Lastpass) y al usar la misma clave en varios sitios, casi toda tu presencia online está expuesta :)
Lo interesante de esto es que les fue imposible ocultar la gravedad de la situación, aunque Google logró mantenerlo fuera del ojo público por casi 11 días desde que Neel Mehta de Google Security descubre Heartbleed hasta que el rumor aparece en la comunidad Open Source (por eso Google, CloudFlare, OpenSSL, Codenomicon, National Cyber Security Centre Finland, Akamai y Facebook pudieron arreglar sus cosas antes que nadie) y desde ahi fue imparable… al punto de ver las vulnerabilidades en Android y hardware a tutiplén.
Dos detalles finales a todo este tema; por un lado la falta de atención que le prestaron los medios a un tema que es gravísimo en serio y que no se resolvió “en horas” porque esto es una falla sistémica y no creo que las decenas de miles de sitios afectados hayan cambiado todo… y si es sistémico un punto flojo en la cadena la hace vulnerable en casi su totalidad.
Por otro lado, esto muestra la necesidad de mejorar los sistemas de identificación que estás usando; y yo personalmente ya solo me siento seguro con una Autenticación mediante dos factores y así y todo me parece molesta… lo que hace que muchas veces no lo aplique, con lo que quizás hay un espacio para nuevas formas de autenticación segura.
PD: ¿estás leyendo esto en vez de renovar TODAS tus claves? anda ya… dejá de leer y cambialas ASAP :)
Entonces, ¿cambiar las claves sirve de algo o no? Si la vulnerabilidad sigue estando, ¿para qué la cambio?
Me pasa lo mismo con la autenticación de dos factores, PAJA.
@matt
tenés que cambiarlas, separándolas por tipo de servicio y en los que son vulnerables todavía poner claves que tenes que modificarlas nuevamente :)
Bueno con las llaves de los certificados puedes decodificar el trafico SSL pero un atacante necesitaría realizar un ataque man in the middle para vulnerar cuentas, y eso le restaría mucho interés a crackers por que se les complica los ataques. Revise algunos sitios y algunos con certificados antiguos ni siquiera usan HTTPS.