Heartbleed: esto no terminó

heartbleed passowrds sitios afectados

Si leiste algo de Heartbleed y corriste a cambiar tus claves pensando que todo está seguro estás equivocado, pero como la noticia ya pasó nadie le presta atención y hay servicios que todavía siguen sin cambiar sus certificados... con lo que todos los problemas de Heartbleed siguen existiendo.

Hay mil formas de explicar que pasó con Heartbleed, hasta en un comic de XCKD, pero básicamente esto es un error de código y no del protocolo TTS/SSL que hace que el server con OpenSSL de más información de la que debería (ok, estoy simplificando mucho!) y hace inseguros los certificados que "aseguran" los sitios.

heartbleed explicado

Para ser claro, la UNICA forma de arreglar este problema es que los sitios vulnerables (que se cuentan en decenas de miles) hagan un update de OpenSSL y emitan nuevamente sus certificados de seguridad.

¿Que significa esto para mi? Básicamente que aunque cambies la clave, si el certificado no se renovó la misma sigue siendo vulnerable (podés revisar sitio por sitio en esta herramienta de vulnerabilidad de Heartbleed en Lastpass) y al usar la misma clave en varios sitios, casi toda tu presencia online está expuesta :)

heartbleed simple

Lo interesante de esto es que les fue imposible ocultar la gravedad de la situación, aunque Google logró mantenerlo fuera del ojo público por casi 11 días desde que Neel Mehta de Google Security descubre Heartbleed hasta que el rumor aparece en la comunidad Open Source (por eso Google, CloudFlare, OpenSSL, Codenomicon, National Cyber Security Centre Finland, Akamai y Facebook pudieron arreglar sus cosas antes que nadie) y desde ahi fue imparable... al punto de ver las vulnerabilidades en Android y hardware a tutiplén.

heartbleed lookout android

Dos detalles finales a todo este tema; por un lado la falta de atención que le prestaron los medios a un tema que es gravísimo en serio y que no se resolvió "en horas" porque esto es una falla sistémica y no creo que las decenas de miles de sitios afectados hayan cambiado todo... y si es sistémico un punto flojo en la cadena la hace vulnerable en casi su totalidad.

Por otro lado, esto muestra la necesidad de mejorar los sistemas de identificación que estás usando; y yo personalmente ya solo me siento seguro con una Autenticación mediante dos factores y así y todo me parece molesta... lo que hace que muchas veces no lo aplique, con lo que quizás hay un espacio para nuevas formas de autenticación segura.

PD: ¿estás leyendo esto en vez de renovar TODAS tus claves? anda ya... dejá de leer y cambialas ASAP :)

| Open Source Seguridad
Tags:
heartbleed vulnerabilidades