11 abril, 2014
Heartbleed ya es “considerado como una de las mayores amenazas vistas en la Web desde su nacimiento”, según afirmamos en este repaso que dio cuenta del hallazgo de este bug detectado por Google y la firma Codenomicon en OpenSSL, protocolo que es utilizado en dos tercios de los servidores de Internet. Esta falla, la cual ha sido emparchada por los desarrolladores de Open SSL, no fue insertada en forma intencional sino que se trató de un descuido, según dijo el desarrollador alemán Robin Seggelman, quien trabajó en el proyecto.
Ahora, Cisco Systems y Juniper Networks indican que Heartbleed también afecta a routers que están a la venta actualmente. Estas compañías publican un listado de dispositivos afectados (los cuales utilizan una versión antigua del protocolo), indicando que trabajan en parches para los hardwares involucrados. Cisco menciona 65 productos afectados, mientras Juniper identifica 8. Las listas pueden ser consultadas en los siguientes enlaces:
Según indica The Wall Street Journal, a diferencia de la rápida acción de emparchado emprendida por firmas como Yahoo, Netflix y Amazon, en el caso de los dispositivos físicos la solución reviste mayores dificultades. “El proceso implica más pasos y las empresas son menos propensas a comprobar el estado de los equipos de red”, anota.
Operando hace al menos dos años, según explicó el especialista en seguridad informática Federico Pacheco en esta nota de RedUSERS, “el bug posibilita la lectura de ciertos fragmentos de la memoria del propio proceso (hasta 64k por vez) tanto del lado del cliente como del lado del servidor, con lo que un potencial atacante podría entonces vulnerar a cualquiera de las partes”. El especialista añade que “sería posible obtener los datos correspondientes a la clave privada del servidor (o del cliente) y otros datos sensibles” y que “estamos antes un escenario de un nivel de riesgo dantesco que no se repetirá por mucho tiempo”.
Imagen: Mashable